Flera turer runt GDPR

Det har hänt en del turbulenta saker med GDPR den senaste tiden. Man hör många svänga sig med ord som Privacy Shield, CloudAct och "Maximillian vs Facebook". Jag tänkte reda ut vad allt det här egentligen handlar om. 

En fråga som ofta dyker upp från våra kunder är “Kan ni se till att vi följer GDPR?” eller “Har ni GDPR-avtal?”. Svaret är oftast ja, men det är egentligen en ganska komplicerad fråga. En annan relevant fråga skulle också kunna vara går det ens att att följa GDPR? Här finns det två svar: ja och nej. Eller det ”beror på” som en jurist skulle ha sagt.

Historia

Vi börjar med en kort sammanfattning och historia om GDPR. Jag skrev ett blogginlägg om det redan 2017 men det har runnit en del vatten under broarna sedan dess.

Kortfattat: GDPR är en dataskyddsförordning vars syfte är att trygga persondata. Målet är att förhindra spridning av personuppgifter och tvinga företag att ha bra rutiner kring hantering av personuppgifter samt vara öppna med hur de används. Det gäller även “rätten att bli glömd”. En tydlig måltavla är t.ex. Facebook och Google vars affärsidéer är att samla på sig data.

Som GDPR föreskriver så blir företag som behandlar personuppgifter personuppgiftsansvarig. Företag som behandlar data för en personuppgiftsansvarig blir personuppgiftsbiträde.

Data utanför EU

Okej, inga konstigheter. GDPR syftar till att förhindra att ditt personliga data sprids. Anlitar du någon annan som kan se ditt data blir denna ditt biträde. Enligt GDPR får inte data spridas utanför EU/ESS eller “av EU godkänt tredje land” (t.ex. Norge och Schweiz). Självklart är det för att data inte ska komma på vift och sedan hamna någonstans där det inte skyddas av GDPR. Det är här det börjar bli lite snårigt. Man kan tro att anlitar man bara svenska eller europeiska företag att ta hand om sitt data är det inga problem, men så enkelt är det inte. Mer om det snart.

Privacy Shield

USA har många techföretag som älskar data. Även andra företag som skulle drabbas om USA inte av EU anses vara ett “av EU godkänt tredje land”. Därför skapade EU och USA 2016 samarbetsavtalet Privacy Shield. Det är en överenskommelse som amerikanska företag kan ansluta sig till och på så sätt garantera att de följer GDPR. Vips så kan amerikanska företag ansluta sig Privacy Shield och jobba på som tidigare, med skillnaden att de lovar att följa reglerna i GDPR (lite grovt förenklat).

”Maximillian vs Facebook”

Det här tuffade på fram tills sommaren 2020. Parallellt, under flera års tid, har österrikaren Maximillian Schrems fört sitt egna krig mot Facebook (och även andra företag) gällande frågor om personlig integritet och datainsamling. Det blev ganska många turer och domstolsutlåtanden, men en viktig dom slogs fast av EU i juli 2020 gällande just Privacy Shield och om den verkligen fungerar. Specifikt gäller det frågan om dotterbolaget Facebook Ireland kan samla in data, och sedan skicka det till sitt moderbolag i USA och där processa och hantera det utan att användaren godkänner det. Givetvis kom EU-domstolen fram till att Facebook inte kan luta sig mot Privacy Shield för att få föra personligt data ut ur EU. Anledningen är att i USA saknas det kontrollmekanismer hur GDPR efterföljs. Det är med andra nu bestämt att om personuppgifter hamnar i USA vet vi helt enkelt inte vart de tar vägen och då strider det mot GDPR. Det här är exakt vad GDPR går ut och träffar mitt i prick. Super.

Det är alltså inte tillåtet för amerikanska företag att föra över strukturerat data till USA. Däremot är det tillåtet att använda sig av amerikanska tjänster, som t.ex. Microsoft eller Amazon så länge som data fysiskt finns inom EU/ESS. Eller?

 

CloudAct

En helt ny dimension och nivå av snårighet kommer med CloudAct. Det här toppar nog listan över missförstådda utryck. Googlar man “CloudAct” så kryllar det av olika företag som använder det som något slags slagträ för sin egna agenda. Frågan mynnar ofta ut i om svenska företag kan använda amerikanska IT-tjänster eller inte. Det gäller t.ex. användandet av Google Apps, Office 365, Amazon, m.m.

CloudAct är ingen egen lag som det ofta låter som. Det är ett förtydligande av en lag som USA haft sedan 70-talet. USA, liksom Sverige och de flesta andra länder, kan begära ut information från företag om det pågår en brottsutredning. Amerikanska företag eller företag som faller under amerikansk jurisdiktion måste lämna ut data om en amerikansk domstol begär det oavsett vart i världen data fysisk finns. Egentligen ingen konstigt. Ett brott ska utredas, en brottsutredare behöver information och kan med legal hjälp begära det. En vanlig missuppfattning är att CloudAct är en öppen kanal där amerikanska myndigheter fritt kan hämta data, vilket inte stämmer. Det är, precis som i Sverige, att det krävs ett domstolsbeslut som specificerar vilket data angående vilken person som ska tas fram. 

Ur ett GDPR-perspektiv blir det knepigt. Ska man dra det till sin spets så betyder det att teoretiskt sett kan personuppgifter om EU-medborgare hamna i USA (med betoning på teoretisk). Det här gäller amerikanska företag eller företag som faller under amerikansk jurisdiktion som har hand om personuppgifter. Ja, det kanske är dags att förklara vad amerikansk jurisdiktion egentligen betyder. 

Amerikansk jurisdiktion

Amerikas långa juridiska arm sträcker sig…, ja långt.  Alla företag som på något sätt har en relation med USA kan hamna under amerikansk jurisdiktion. Eller som USA själva säger:

“Just as a party doing business enjoys the protection of the laws, so too must a party comply with the laws.”

Eller som andra säger: där det finns US-dollar gäller amerikanska lagar. 

GDPR funkar inte?

Det är nu det börjar bli intressant. GDPR säger alltså att data inte får lämna EU/ESS, CloudAct säger att alla företag som har någon samrörelse med amerikanska företag måste lämna ut data. Eller måste är kanske inte helt rätt, enligt USA måste de det. Företaget måste inte enligt svensk lag (även om USA förmodligen kommer begära det via svensk domstol), men som företag vill du inte gå emot en amerikansk order. Om alla runt dig som också faller under amerikansk jurisdiktion bojkottar dig är du ändå rökt. Just det här med att lämna ut data går stick i stäv med GDPR.

Hoppla, så alla svenska företag som har personuppgifter (i princip de flesta) och har en relation med ett amerikansk företag (också här de flesta, tänk: VISA-betalningar, din bank, om du har en amerikansk kund eller leverantör, fraktbolag, m.m.) strider mot GDPR?

Ja, om man som sagt driver allt till sin spets.

Använd sunt förnuft

Men! Det är nu man ska backa bandet och tänka vad egentligen GDPR syftar till:

“GDPR är en dataskyddsförordning vars syfte är att trygga persondata. Målet är att förhindra spridning av personuppgifter och tvinga företag att ha bra rutiner kring hantering av personuppgifter samt vara öppna med hur de används.”

Det gäller alltså att inte misstolka eller övertolka GDPR. Hittills har USA bara begärt ut information angående brottsutredningar precis som det är tänkt och eftersom Sverige samarbetar internationellt så skulle uppgifterna ändå skickats. Låt inte CloudAct överskugga GDPR.

Med andra ord, om du t.ex. använder en IT-tjänst från USA som inte har som affärsidé, syfte, eller intresse av ditt data (så länge data ligger inom EU/ESS) måste det, enligt mig, betraktas som GDPR-kompatibelt. Annars finns det ingen leverantör (eller du själv för den delen) som har rätt att hantera personuppgifter. Poängen är att i en globaliserad värld har i princip alla affärer med USA och skulle, åter igen, väldigt teoretiskt, falla under CloudAct.

Med fel fokus riskerar de riktiga skurkarna som Facebook, TikTok och Google flyga under radarn och syftet med GDPR urholkas och gå förlorat. GDPR är ett väldigt bra initiativ och det är en förordning vi ska vara stolta över att vi i Europa har infört. Så slutklämmen blir: sluta övertolka GDPR.

/Magnus