DIGITAL STRATEGI

GDPR har, som vi alla känner till, satt ny standard för hur vi som företag behandlar persondata. Omställningen var stor och företag som inte började i tid fick bråttom att GDPR-säkra sin infrastruktur för att inte riskera stora viten.

Livet på Facebook, Instagram och andra digitala plattformar har dock fortsatt i stort sett som innan. Hur föll det sig att amerikanska bolag vars största datakälla är persondata kunde fortsätta sin verksamhet? Undantag för begränsningen som GDPR utgör kan ges ifall tredjeland, i Facebooks fall USA, har en adekvat skyddsnivå. EU-kommissionen kan således besluta att vissa länder har en skyddsnivå gällande persondata som är att likställa med GDPR.

Österrikiske juristen och dataskydds-aktivisten Max Schrems har fått EU att ompröva avtalet med USA

Gällande USA antog EU ett beslut om skölden för skydd av privatliv, Privacy Shield. Det nya beslutet korrigerade de “hål” i det föregående beslut som Max Schrems bestridit tidigare vilket gällde hur USA:s myndigheter skulle hantera personuppgifter. Privacy Shield lät organisationer självcertifiera sig och ansluta sig till vitlistade bolag i USA. Men, in kommer Max Schrems, igen. Den österrikiske juristen och dataskydds-aktivisten har fått EU att ompröva sitt avtal med USA.

Från 16 juli 2020 är alla överföringar av data till USA som är godkända enligt Privacy Shield inte längre lagliga

Så vad innebär detta egentligen i praktiken? Alla företag med en digital närvaro, med verktyg implementerade på hemsidan så som Facebook Connect, Google Analytics med flera, måste se över sina rutiner igen. De företag man samarbetar med måste efter sommarens dom, ha en individuell standardavtalsklausul som godkänts av EU-kommissionen. Därför är det av yttersta vikt att man som företagare ser över vart datan man samlar in tar vägen, vilka andra företag som får tillgång till den och, om de har huvudkontor i USA, har standardavtalsklausuler med EU.

Data i det här fallet kan vara bilder man postar på sociala medier, trafikdata i Google Analytics eller Facebook Connect.

Så här säger Svenska Datainspektionen om vad organisationen kan göra:

”Det första ni bör göra är att kartlägga vilka flöden av personuppgifter som finns i organisationen och i vilka fall personuppgifter kan komma att överföras till tredje land. Om uppgifter överförs till tredje land bör ni försöka utröna hur skyddet hos det mottagande landet ser ut i det särskilda fallet. Därefter måste ni ta ställning till om det finns stöd för överföringen eller inte.

I era avtal med eventuella personuppgiftsbiträden ska det framgå om personuppgifter överförs till tredje land. Ni bör även ta reda på om eventuella underleverantörer överför uppgifter till tredje land. Många tjänster överför idag uppgifter till tredje land.”

Och precis som efter verkställandet av GDPR behövs fler prövningar göras för att vi med säkerhet ska veta vad som gäller. I nuläget är dock det bästa man kan göra att se över sina rutiner och avbryta all dataöverföring till tredjepartsverktyg som man inte är 100% säker på.

Skriv upp dig på vårt nyhetsbrev!