Skip to main content

Schrems II

TL;DR

Schrems II är namnet på ett fall som EG-domstolen (EG-domstolen) har avkunnat och som bygger på att amerikanska företag inte kan garantera tillräckliga normer för skydd av personuppgifter. Till följd av detta blev överföring av personuppgifter mellan EU och USA olaglig och Privacy Shield-avtalet mellan dem blev föråldrat.

Vad betyder Schrems II?

Schrems II är det generiska namnet på ett mål i EG-domstolen som den 16 juli 2020 avgjorde till förmån för Max Schrems och ledde till att Privacy Shield-avtalet mellan EU och USA ogiltigförklarades. Detta ledde till att det blev olagligt för alla typer av personuppgiftsbiträden att använda tjänster från USA, som skulle ge dessa tjänster tillgång till EU-medborgares personuppgifter, utan att fullt ut förklara riskerna. Konsekvenserna var mycket allvarliga, så pass allvarliga att vissa stora amerikanska företag (t.ex. Facebook) övervägde att helt avbryta sin verksamhet i EU.

Ett tidigare fall, känt som Schrems I, som startades av samma person, hade varit upphov till ett liknande resultat 2015. EG-domstolens beslut i Schrems II-fallet grundade sig på argumentet att det, särskilt på grund av amerikansk lagstiftning somCLOUD Act, inte finns något sätt att garantera integriteten för personuppgifter om de hanteras av amerikanska företag. Federala myndigheter som använder sig av en fullmakt kan alltid tvinga databehandlare som Google eller Facebook att lämna ut personuppgifter om användarna, utan deras samtycke. Det spelar ingen roll var de servrar som innehåller uppgifterna är fysiskt placerade. Därför måste alla EU-medborgare som har tillgång till en webbplats som har sitt värdskap i USA, eller en webbplats som använder appar från tredje part som hanteras av amerikanska företag (t.ex. Google Analytics), informeras ordentligt om alla rättsliga konsekvenser av dataöverföringen, liksom om alla risker.

För mer information om konsekvenserna av Schrems II kan du läsa denna översikt. Sammanfattningsvis är de följande:

  • Webbplatsägare med besökare från EU kan inte lagra uppgifter utanför EU, om inte lagarna i det landet kan erbjuda en adekvat skyddsnivå för uppgifterna.
  • Alla tredjepartstjänster som används av en webbplats måste också ge skydd, och kan därför inte vara baserade i USA. Dessa tjänster kan omfatta: verktyg för webbplatsanalys, verktyg för hantering av kundrelationer, reklamtjänster, chattverktyg, verktyg för användarinsikter osv.
  • Förteckningen över amerikanska företag som var undantagna från reglerna, på grundval av Privacy Shield, var inte längre lagligt verksamma.
  • Banners med samtycke måste innehålla specifik information om cookies och bestämmelser om dataöverföring.