Inera analyserar konsekvenserna av EU-domstolens dom i det så kallade Schrems II-målet

EU-domstolens dom i målet C-311/18 innebär att det inte längre är tillåtet för personuppgiftsansvariga i EU att med Privacy Shield som grund överföra personuppgifter till mottagare i USA. Det innebär att alla som idag låter personuppgifter behandlas i USA med stöd av Privacy Shield måste säkra en annan laglig grund. Domstolen slog vidare fast att kommissionens beslut om standardavtalsklausuler som grund för överföring av personuppgifter från EU till USA är fortsatt giltigt men, påpekade domstolen, det kunde behövas ytterligare skyddsåtgärder för att säkerställa skyddet för uppgifterna. Det är upp till varje personuppgiftsansvarig att bedöma om och i så fall vilka skyddsåtgärder som behövs. Sedan dess har Inera försökt förstå och utvärdera konsekvenserna av domen för verksamheterna. 

Vilka konsekvenser får domen?

Exakt vad EU-domstolens dom får för konsekvenser är inte helt klart men den kan få stora praktiska konsekvenser för privata och offentliga aktörer i både EU och USA. EU och USA har därför inlett förhandlingar om hur personuppgifter ska kunna behandlas i USA framöver med tillräcklig skyddsnivå enligt GDPR. Var man landar i förhandlingarna är ännu svårt att förutse.

Vad mer gör Inera?

Inera har följt utvecklingen med anledning av domen och har startat en genomgång av rättsläget. Vi har undersökt hur den aktuella situationen påverkat våra ramavtal, upphandlade it-tjänster och har nu upprättat en handlingsplan för hantering av avtalen utifrån den vägledning som vi fått och hoppas få från EDPB och svenska Integritetsskyddsmyndigheten.