Så påverkar EU-domstolens avgörande överföring av personuppgifter

Den 6 oktober fällde EU-domstolen sitt avgörande avseende överföring av personuppgifter till USA. Avgörandet får direkta konsekvenser för företag som överför personuppgifter från EU till USA. - Det finns vissa åtgärder att vidta för att minska risken för att personuppgifter överförs olagligt, säger Martin Gynnerstedt, en av Cederquists experter på IT-rätt.

EU-domstolens avgörande innebär att det inte längre är möjligt att utgå från att en överföring av personuppgifter till USA, som sker med stöd av Safe Harbor (se nedan), är laglig.

-  Detta innebär att överföringar som sker i befintliga avtalsrelationer med amerikanska externa parter och även interna överföringar till amerikanska koncernbolag kan stå i strid med europeisk och svensk personuppgiftsreglering, säger Martin Gynnerstedt.

Han tycker att företag bör överväga alternativa tillvägagångssätt för att säkerställa att en överföring av personuppgifter är laglig.

- Det finns vissa initiala åtgärder som organisationer kan överväga att vidta, säger Martin.

Följande initiala åtgärder kan företag och organisationer vidta:

1. Gör en riskinventering
Inventera vilka överföringar av personuppgifter som sker och som påverkas av EU-domstolens avgörande. Syftet med detta är att komma fram till i vilken omfattning organisationen påverkas av avgörandet samt även bedöma vilken risk som respektive överföring kan innebära och i vilken prioritetsordning överföringarna sedan bör hanteras.

2. Gå igenom identifierade överföringar
Externa parter – Gå igenom identifierade överföringar och analysera om överföringen till externa parter kan ske med stöd av något av de undantag som finns i tillämplig personuppgiftsreglering (t.ex. genom användning av EU kommissionens standardklausuler).

Internt inom en koncern – analysera vilka alternativ till Safe Harbor som finns och är lämpliga för koncerninterna överföringar.

3. Gå igenom interna policys och avtalsmallar
Se över rutiner för lagenliga överföringar av personuppgifter och säkerställa att organisationen därefter löpande tillämpar detta arbetssätt vid ingående av avtal osv.

-------
Detta är Safe Harbor
Enligt ett Kommissionsbeslut från år 2000 så har överföringar av personuppgifter till USA och amerikanska företag som anslutit sig till "Safe Harbor" ansetts vara förenliga med Europeisk personuppgiftsreglerings krav på att mottagarlandet ska ha en adekvat skyddsnivå och såldes även förenliga med den svenska personuppgiftslagen. Systemet med Safe Harbor innefattar ett antal krav angående skydd för personuppgifter vilka amerikanska företag frivilligt kan ansluta sig till och det är mycket vanligt att överföringar sker med stöd av Safe Harbor.

Ring
English
Meny