Att hantera personuppgifter på 2020-talet kräver kontinuerlig påfyllning av kunskap – inte minst eftersom regler och riktlinjer förändras. Swedish Software och advokatbyrån Synch rätar ut de fem vanligaste frågetecknen.
1. Vad är GDPR, Schrems II och Privacy Shield – och hur hör de ihop?
GDPR, (General Data Protection Regulation) är EU:s dataskyddsförordning från 2018. GDPR ställer strikta krav på företag som överför personuppgifter utanför EU. Privacy Shield, ett system för självcertifiering, var en överenskommelse mellan EU och USA. Det innebar att personuppgifter kunde överföras till företag i USA som omfattades av systemet – något som underlättade för europeiska företag att köpa it-tjänster av leverantörer på andra sidan Atlanten. Schrems II är namnet på ett rättsfall från EU-domstolen. Domen innebär dels att det inte längre är tillåtet att föra över personuppgifter till mottagare i USA med Privacy Shield som grund, dels att skyddet för personuppgifter måste följa med dessa uppgifter om de överförs till mottagare i länder utanför EU.
2. Schrems II – vad gäller konkret för mitt företag?
Företag som överför personuppgifter till länder utanför EU/EES ska säkerställa att överföringen sker i enlighet med reglerna i kapitel V GDPR samt Europeiska dataskyddsstyrelsens rekommendationer och vägledningar.
3. Innebär Schrems II att mitt företag behöver ha infrastruktur för personuppgifter i flera olika länder?
Inte nödvändigtvis. Det finns flera överföringsmekanismer som företag kan använda sig av. Dessutom finns omfattande vägledningar från Europeiska dataskyddsstyrelsen som anger hur företagare ska hantera dessa frågor. Lägg till det att USA och EU har kommunicerat att det finns en politisk överenskommelse om ett ”Privacy Shield 2.0”. Med andra ord: en enklare lösning är på gång, vilket skulle underlätta för företag. Läs mer om det längre ner i nyhetsbrevet.
4. Vilken hjälp har jag som techföretagare av Swedish Softwares avtal?
Föreningens mall för personuppgiftsbiträdesavtal, som kan laddas ner via webbplatsen, innebär att biträdet får ett allmänt godkännande att överföra personuppgifter till tredje land. Förutsättningen är att villkoren i kapitel V GDPR, är uppfyllda. Den vanligaste överföringsmekanismen är standardavtalsklausuler. De har publicerats av EU-kommissionen och finns tillgängliga här. Standardavtalsklausulerna anpassas till aktuell situation (i bilagorna) och specifik verksamhet. Personuppgiftsbiträdet ska i enlighet med punkten 8.1 i Swedish Softwares biträdesavtal, på den personuppgiftsansvariges begäran, tillhandahålla en skriftlig beskrivning av hur dessa villkor uppfylls.
5. Hur kommunicerar mitt företag om GDPR och Schrems II med kunderna?
Dagens kunder förväntar sig att leverantörer har kunskap, ordning och reda när det gäller personuppgiftsbehandling och överföringar till tredje land. Eftersom regler och riktlinjer på området förändras är det viktigt att den enskilde företagaren håller sig uppdaterad om vad som händer inom området. Kommunikationen med kunderna kan ske muntligt eller skriftligt. Swedish Software kommunicerar nyheter och förändringar inom området via webinar, webbplats och nyhetsbrev. Frågor om tredjelandsöverföringar kan också ställas till Swedish Softwares samarbetspartner Synch, som tillhandahåller juridisk rådgivning till medlemmarna.