Schrems II

I den allmänna dataskyddsförordningen finns regler om när och hur överföring av personuppgifter till länder utanför EU, så kallade tredje länder, är tillåten. Överföring av personuppgifter från EU/EES till USA har tidigare kunnat ske genom bland annat Privacy Shield, ett ramverk för certifiering av en tillräckligt hög skyddsnivå för personuppgiftsbehandling hos amerikanska företag.EU-domstolen har genom den så kallade Schrems II-domen slagit fast att Privacy Shield-avtalet mellan EU/EES och USA inte ger tillräckligt skydd för personuppgifter när dessa förs över till USA. Domen innebär att det inte längre är tillåtet för europeiska företag att överföra personuppgifter till amerikanska underleverantörer med stöd av Privacy Shield.

Draftit behandlar våra kunders personuppgifter huvudsakligen i Sverige, men vi använder ett fåtal system och tjänster kopplade till enstaka underleverantörer som medför att personuppgifter överförs till USA eller riskerar att överföras till USA. Ett exempel på ett sådant system är vårt ärendehanteringssystem för inkommande supportärenden. Vi vill poängtera att inga känsliga personuppgifter överförs eller riskerar att överföras till USA eller annat tredje land.

Vi arbetar kontinuerligt med att byta ut våra amerikanska underleverantörer till motsvarande underleverantörer inom EU/EES. Eventuella byten till europeiska underleverantörer kommer att ske i enlighet med gällande personuppgiftsbiträdesavtal.

Parallellt med vårt ovannämnda arbete, bevakar vi rättsläget noggrant i väntan på ytterligare vägledning från Integritetsskyddsmyndigheten och den europeiska dataskyddsstyrelsen. Har ni några frågor så är ni välkomna att höra av er till Patrik Karlsson, patrik.karlsson@draftit.se.