Personuppgifter är viktiga saker. Det är något man ska hantera varsamt och säkert, i enlighet med rådande lagar. I Sverige regleras hanteringen av personuppgifter i bl a Personuppgiftslagen (PuL) och Lag om elektronisk kommunikation (LEK).
Internet är dock inte begränsat till enskilda länder. Det finns därför ett antal internationella lagar och avtal som reglerar hur personuppgifter får hanteras och överföras mellan olika länder. Inom EU gäller t ex Dataskyddsdirektivet.
EU och USA har sedan år 2000 haft en överenskommelse, det sk. Safe Harbour-avtalet, med regler som ska skydda den personliga integriteten. Om man som företag/organisation i USA har ingått detta avtal så har det ansetts vara en adekvat skyddsnivå för överföring av personuppgifter (från EU till USA).
Det är denna punkt i PuL som Safe Harbour-avtalet (och Dataskyddsdirektivet) har tillgodosett:
33 § Det är förbjudet att till tredje land föra över personuppgifter som är under behandling om landet inte har en adekvat nivå för skyddet av personuppgifterna. Förbudet gäller också överföring av personuppgifter för behandling i tredje land.
De senaste åren har dock ett antal amerikanska myndigheter varit rätt så duktiga på att spionera på enskilda individer, även utan grund för det. Edward Snowden har som bekant avslöjat hur Google, Apple, Facebook, Microsoft mfl amerikanska företag har lämnar ut uppgifter om sin användare till bl a CIA och NSA. Det trots att dessa företag har ingått Safe Harbour-avtalet.
Så nu har EU-domstolen ogiltigförklarat Safe Harbour-avtalet.
Det amerikanska systemet ”möjliggör […] ingrepp från de amerikanska myndigheternas sida i enskilda personers grundläggande rättigheter” samt att det i USA inte ”finns regler som syftar till att begränsa sådana eventuella ingrepp, eller att det finns något effektivt rättsligt skydd mot dessa ingrepp.” enligt EU-domstolen.
Nu är EU-domstolens beslut väldigt nytt (det skedde härom veckan), så det finns inga prejudikat här än. Sedan kan (främst större) företag/organisationer, om vi har förstått det rätt, upprätta avtal med enskilda länder, utanför Safe Harbour. Men det går inte att blunda för vikten av det här.
Att överföra personuppgifter från EU till USA, t ex via en server, kan nu vara olagligt.
Nu ska man inte gripas av panik om man har en server i USA med personuppgifter från EU. EU-domstolens beslut kommer garanterat att granskas och testas ordentligt. Men man bör ändå vara vaksam. Att sätta upp en ny server i USA för detta syfte är kanske inte så smart. Desto bättre att planera för en flytt ”hemåt” istället.
Sedan är en snabb server i Sverige att föredra oavsett, särskilt om man har en svensk målgrupp.
Har du några tankar eller funderingar kring detta? Lämna gärna en kommentar här nedan!