EG-domstolen, ECJ, har fattat ett beslut i Schrems II-ärendet (C-311/18). De meddelar att Privacy Shield, ett ramverk som skapats av amerikanska handelsdepartementet och Europeiska kommissionen, är ogiltigt enligt europeisk rätt.

Privacy Shield har använts av många personuppgiftsansvariga som en rättslig grund för att använda amerikanska leverantörer för behandling av personuppgifter (Microsoft, Google, AWS etc).

EG-domstolen drar också slutsatsen att SCC, standardavtalsklausuler för dataöverföring mellan EU och länder utanför EU, kan vara giltiga, men endast om den ansvarige ser till att biträdet i varje enskilt fall kan upprätthålla de rättigheter som fastställts av GDPR. De drar också slutsatsen att detta kommer att vara nära omöjligt för amerikanska företag på grund av rättigheter som ges till underrättelsemyndigheter i USA (t.ex. NSA).

Detta innebär att:

Varje överföring av personuppgifter från EU till USA-kontrollerade företag baserat på Privacy Shield måste upphöra omedelbart eller baseras på en annan grund (av vilken ingen verkar vara tillgänglig).

Alla överföringar av personuppgifter från EU till USA-kontrollerade företag baserade på SCC måste analyseras individuellt för att säkerställa de registrerades individuella rättigheter (vilket verkar omöjligt).

EU-domstolen klargör även att bedömningar av informationssäkerhet för alla andra känsliga uppgifter, till exempel myndighetsdata och uppgifter om bank och försäkring ska bedömas på samma sätt. USA-ägda leverantörer och deras dotterbolag får inte användas för behandling av sådan data.

Vidare förklarar EG-domstolen också att tillsynsmyndigheternas främsta ansvar är att övervaka tillämpningen av GDPR och se till att den verkställs. Detta är viktigt mot bakgrund av det faktum att färre än 1% av alla klagomål till nationella tillsynsmyndigheter har lett till utredningar och många färre till verkställighet med viten.

Vad måste göras?

Det första en organisation måste göra är en inventering av alla överföringar av personuppgifter (inklusive typ, rättslig grund etc.) som görs till alla amerikanska företag och bestämma vilken rättslig grund som används för den överföringen.

Om den rättsliga grunden för överföringen är Privacy Shield, måste överföringen upphöra (och all information måste tas tillbaka) eller så måste en annan rättslig grund hittas. Om den rättsliga grunden är, eller kommer att vara SCC, måste en analys göras från fall till fall, och en möjlighet att till exempel omedelbart återföra data måste säkerställas. (vilket EG-domstolen anser omöjligt på grund av amerikansk lagstiftning).

Om möjligt ska personuppgifter lagras inom EU och på servrar som kontrolleras av företag i EU som inte omfattas av amerikansk lagstiftning.

Behovet av informationskontroll blev just ännu viktigare.

EG-domstolens avgörande påverkar inte var data lagras, endast personuppgifter, och att utföra en personuppgiftsinventering är nu obligatoriskt för att säkerställa en laglig affärsverksamhet.

Aigine gör precis det.