People Intouch har alltid varnat organisationer att behandling av känsliga företagsdata i USA innebär att data utsätts för inkräktande amerikanska myndigheter (t.ex. USA:s justitiedepartement, inrikessäkerhetsdepartement och NSA). EU-domstolens dom i Schrems II-målet som kom den här månaden bekräftar vår oro kring detta och visar hur viktigt det är att fundera kring var du vill behandla känsliga företagsdata som rör oegentligheter.
Den 16 juli ogiltigförklarade EU-domstolen ramverket för sekretesskydd mellan EU och USA genom beslutet i Schrems II-målet. Sekretesskyddet utgjorde en rättslig grund för fler än 5 000 företag vid överföring av personuppgifter från Europa till USA enligt vissa bestämmelser. Ogiltigförklaringen kommer även att ha stor inverkan på företag som inte förlitar sig på sekretesskyddet för behandling enligt bestämmelserna, eftersom domen belyser svårigheterna med att hålla dataöverföringar till USA säkra.
Dataskyddsförordningen skapar lika villkor inom hela Europa för skydd av personuppgifter. Överföring av personuppgifter utanför EU ska följa en lika hög skyddsnivå. För att tillgodose överföringar utanför EU tillhandahåller EU beslut om uppfyllande av tillräckliga krav för specifika länder. Ett beslut om uppfyllande av tillräckliga krav består av implementering och utvärdering, inklusive kriterier som att respektera lagar, tillgång till rättssystem och efterlevnad av internationella standarder för mänskliga rättigheter. Ett beslut om uppfyllande av tillräckliga krav för ett specifikt land skyddar internationella överföringar till det specifika landet. Utöver beslut om uppfyllande av tillräckliga krav kan dataöverföringar även utföras på ett sätt som överensstämmer med dataskyddsförordningen. Till exempel genom att ingå standardavtalsklausuler (antagna av EU-kommissionen, men förnärvarande också under granskning) eller bindande företagsregler.
Sekretesskyddet var inte det första avtalet som utformades av EU-kommissionen för att tillhandahålla motsvarande skydd vid personuppgiftsöverföringar till USA. Föregångaren var Safe Harbor-principerna, som godkändes för 20 år sedan. Safe Harbor ogiltigförklarades av EU-domstolen 2015 i Schrems I-målet, eftersom det saknade tillräckligt skydd av grundläggande rättigheter motsvarande de i EU. USA placerade nationell säkerhet, offentliga intressen och brottsbekämpning före Safe Harbor-principerna för personuppgiftsskydd.
EU-kommissionen godkände formellt sekretesskyddet mellan EU och USA 2016 som en förbättrad efterföljare till Safe Harbor. Sekretesskyddet tillhandahöll ett frivilligt certifieringsprogram för företag. Företag som ansökte om registrering i certifieringsprogrammet var tvungna att kvalificera sig för och följa sekretesskyddsprinciperna. Dessa principer omfattade t.ex. ansvar för vidareöverföring, dataintegritet, åtkomst och tillförlitlighet. Men den 16 juli bedömde EU-domstolen att inte heller sekretesskyddet ger tillräckligt skydd. I synnerhet lämnar sekretesskyddet inte tillräckliga garantier för att hålla de överförda personuppgifterna skyddade från amerikanska övervakningsprogram. Därtill ger sekretesskyddet inte registrerade från Europa tillräckliga lagstadgade rättigheter och faktiska lagliga möjligheter i USA.
EU-domstolens bedömning understryker ånyo svårigheterna med överföring av känsliga företagsdata till USA. Eftersom sekretesskyddet inte längre utgör en giltig rättslig grund för internationella dataöverföringar måste organisationer som förlitar sig på det lägga om sina planer för att säkerställa efterlevnad av de höga europeiska standarderna för dataskydd. En analys av varje enskilt fall måste göras för att skydda organisationernas data, om de vill fortsätta att överföra data utanför Europa.
Fler detaljer om EU-domstolens Schrems II-dom hittar du här.