Den 10 juli 2023 antogs ersättaren till Privacy Shield, EU – US Data Privacy Framework. Många verksamheter ställer sig nu frågan om det är grönt ljus för att bearbeta information i amerikanska molntjänster?
Vi gör bedömningen att det fortfarande är olämpligt.
Per Tuvall, dataskyddsexpert, har sammanfattat de viktigaste effekterna av EU – US Data Privacy Framework i en preliminär analys där han ger en lägesbild för överenskommelsen:
EU – US Data Privacy Framework
Preliminär sammanfattning av Per Tuvall (2023-07-11) – Vad innebär det nya adekvansbeslutet?
Använda molntjänster såsom Microsoft Teams, Zoom, Amazon AWS och liknande blir troligen lagligt så fort företagen anslutit sig till DPF-ramverket. Vilket lär hända snart. Mer info från US Department of Commerce och Privacy Shield-hemsidan. Det finns dock frågetecken kring överföring till USA-myndigheter från personuppgiftsbiträden som Microsoft, Zoom, Amazon etc.
Användning av sociala medier är fortfarande problematiskt, då den enda möjliga rättsliga grunden för annonsering baserad på profilering är samtycke. Se pressrelease från Europadomstolen.
Sekretessbelagda uppgifter kan fortfarande inte föras över till USA-baserade molntjänster såsom Teams, Zoom, AWS och liknande eftersom uppgifterna då röjs. Att göra en generell menprövning på stora mängder data som kan innehålla sekretessreglerade uppgifter är vanskligt, även efter att den nya lagen om sekretessgenombrott trätt i kraft.
En nysatsning på USA-baserade molntjänster är en riskfylld strategi. Enligt NOYB och Max Schrems så är adekvansbeslutet ett resultat av politiska påtryckningar och de amerikanska förändringarna av övervakningslagar är kosmetika. En Schrems-III-dom med oviss utgång är att vänta.
Sammanfattningsvis är det alltså fortsatt hög osäkerhet förknippad med att hantera data i utländska moln. Vi menar att svensk data bör hanteras i svenska moln, under svensk lagstiftning och med svensk integritet.
