"Svenska bolag måste nu kontrollera om de skickar personuppgifter till USA"

2015-10-07 13:45  
Johan Sundberg

Inte bara stora amerikanska bolag - utan också svenska företag med USA-kopplingar påverkas när Safe Harbor blivit ogiltigt. Det bedömer advokaten Johan Sundberg.

EU-domstolens ogiltigförklarande av Safe Harbor på tisdagen får omedelbara konsekvenser. En av de möjliga legala grunderna för europeiska företag att föra ut personuppgifter till USA är därmed borta.

- Svenska bolag som förlitat sig på överenskommelsen bör omgående kontrollera om deras leverantörer eller andra samarbetspartners finns med bland företagen som är listade på Safe Harbors hemsida.

Det uppger advokaten Johan Sundberg, som ansvarar för advokatfirman DLA Nordics grupp för personuppgiftsfrågor. Advokatfirman ingår i DLA Piper Group, som representerar bolag runt om i världen.

Svenska ledningar måste nu se till att göra överföringen laglig på alternativa sätt.

- Det jag tycker man ska göra som företag, är att göra en intern genomgång och kartläggning av de relationer man har där Safe Harbor utgjort grunden för överföring av personuppgifter till USA - och sedan bör man fundera på om det finns någon annan legal grund för överföringen, säger han.

Att Safe Harbor inte längre gäller, påverkar både stora svenska koncerner som Volvo, med verksamhet eller dotterbolag i USA - och amerikanska koncerners dotterbolag här i Sverige.

Dessutom berörs alltså också svenska bolag som samarbetar med leverantörer eller återförsäljare i USA, och som haft stöd av Safe Harbor när de skickat personuppgifter till USA

- Det här ställer till med praktiska bekymmer för många och kräver interna resurser, uppger Johan Sundberg.

Som alternativ till Safe Harbor nämner han EU-kommissionens standardavtalsklausuler. Samtidigt kan även dessa komma att diskuteras i ljuset av domen i går. Enligt domen är Safe Harbor inte hållbart eftersom amerikansk lag går före de civilrättsliga åtaganden som amerikanska bolag gör när de lovar att ha samma dataskydd som EU (Safe Harbor).

- Man kan tänka sig att det blir en debatt kring huruvida standardavtalsklausulerna är ok eller inte, men kortsiktigt är kan de vara en lösning i vissa fall, säger Johan Sundberg.

Att införa koncerninterna regler (binding corporate rules), kring behandling av personuppgifter kan vara en möjlighet på längre sikt. Dessa ska då i så fall godkännas av datainspektionen.

- Om man för över uppgifter i strid med pul, personuppgiftslagen, kan den registrerade personen kräva skadestånd. Förbudet mot tredjelandsöverföring är också formellt sett sanktionerat med böter eller fängelse.

Straffrättsligt skulle ansvarat i det normala fallet hamna på i vd eller styrelsen, uppger han.

- Men i praktiken tror jag inte att någon hamnar i fängelse för det här.

Kommentarer

Välkommen att säga din mening på Ny Teknik.

Principen för våra regler är enkel: visa respekt för de personer vi skriver om och andra läsare som kommenterar artiklarna. Alla kommentarer modereras efter publiceringen av Ny Teknik eller av oss anlitad personal.

  Kommentarer

Debatt