Europeiska personuppgifter får inte föras ut ur EU

Vi lämna ifrån oss mängder av data om oss ute på nätet. Spårare som en del nätsidor har, bla hatforumet Flashback, spårar effektivt folk på nätet. De samlar ihop det som enligt GDPR kallas personuppgifter. Även Facebook, Google, Twitter och andra aktörer samlar på sig personuppgifter från medlemskap. De flesta måste ange en mejladress eller ett telefonnummer, båda räknas som personuppgifter. Nätaffärer kräver också personuppgifter för att genomföra en affär osv.

Skydd för överföring av personuppgifter till annat land

Personuppgifter som exempelvis beskrivs ovan får inte föras ut ur EU tack vare österrikaren och advokaten Maximilian Schrems genom domstolsdomen C-311/18 eller “Schrems II” som den kallas.
Det började för några år sedan när advokaten Schrems motsatte sig Facebooks överförande av hans personuppgifter till USA. Orsaken är USA:s massövervakningssystem med bland annat signalspaningsprogrammet “Prism” inte är tillåtet i EU. Han drev ärendet ända till EU-domstolen, som gav honom rätt. Det tidigare avtalet mellan länderna, “Safe Harbour” och från år 2016 avtalet “Privacy Shield”, som alla företag använder sig av för överföring av data visade sig, enligt domstolen, inte vara giltigt för överföring av personuppgifter. “Privacy Shield” innebär att alla som överför personuppgifter måste skaffa ett tillstånd, vilket var enkelt. I princip skulle företagen bara lova att de skall skydda folks personuppgifter. EU-domstolens beslut innebär att “Privacy Shield” inte lever upp till EU:s krav på skydd av privatpersoners personuppgifter.

Överföring av personuppgifter kan komma att stoppas

Vad som nu händer är inte riktigt klarlagt. Vad man vet är att de som hanterar Europeiska personuppgifter i USA inte längre har tillstånd till detta eftersom avtalet “Privacy Shield” inte gäller för den hanteringen. “Privacy Shield” har i princip ogiltigförklarats av EU-domstolen. Ett undantag finns dock och det är om landet som hanterar personuppgifter har väsentligt likvärdiga regler som EU, kallat SCC, Standard Contractual Clause. Då kan det i vissa fall vara tillåtet men exempelvis USA har inte det skydd för personuppgifter som EU har.
Sedan en tid är ett förslag till riktlinjer i frågan ute på remiss. Så här säger svenska IMY om att numera överföra personuppgifter till USA:

Ogiltigförklarandet av Privacy Shield innebär att det inte längre är tillåtet för personuppgiftsansvariga i EU att med Privacy Shield som grund överföra personuppgifter till mottagare i USA.
Källa: IMY

Det är alltså inte tillåtet från 2022-12-27 att överföra personuppgifter till USA som det ser ut nu.

Frågor och svar hos IMY

På IMY:s hemsida finns företagares frågor och svar från IMY om överföring av personuppgifter till USA:

Kan vårt företag överföra personuppgifter med hjälp av Privacy Shield

Nej, EU-domstolens dom (C-311/18) innebär att Privacy Shield har upphört att gälla. Finns det ett behov av att överföra uppgifter till USA måste ni hitta en annan juridisk lösning än Privacy Shield.
Källa: IMY

Om verksamheten idag överför personuppgifter till bla USA skall man enligt IMY vidtaga följande åtgärder:

Det första ni bör göra är att kartlägga vilka flöden av personuppgifter som finns i organisationen och i vilka fall personuppgifter kan komma att överföras till tredje land.

Om uppgifter överförs till tredje land bör ni försöka utröna hur skyddet hos det mottagande landet ser ut i det särskilda fallet. Här ska ni till exempel titta på om det till följd av lagregler eller praktisk tillämpning är så att myndigheter i mottagarlandet kan skaffa sig tillgång till uppgifterna på ett sätt som inte skulle vara tillåtet inom EU/EES. Därefter måste ni ta ställning till om det finns stöd för överföringen eller inte.
Källa: IMY

..och..

I era avtal med eventuella personuppgiftsbiträden ska det framgå om personuppgifter överförs till tredje land. Ni bör även ta reda på om eventuella underleverantörer överför uppgifter till tredje land.
Källa: IMY

Detta innebär att företag är skyldiga att hålla reda på om några personuppgifter överförs till tredje land och i så fall utreda om hur skyddet ser ut i det landet. Om de inte uppfyller EU:s krav (vilket USA inte gör eftersom de samlar ihop alla sådana uppgifter i terrorbekämpningen) får inte personuppgifter överföras. Företagen skall dessutom redovisa öppet hur man gör med personuppgifter gällande överföring till annat land.
Till detta kommer att företagen är skyldiga att ta reda på om deras underleverantörer överför personuppgifter till annat land. Om det är till USA personuppgifterna skickas skall även underleverantörerna stoppas från att göra så.

Varför får inte USA hantera personuppgifter från EU

USA har en lag som heter “Fisa” (Foreign Intelligence Surveillance Act). Det är en lag som ger USA:s myndigheter rätt att inhämta EU-personuppgifter som står i strid med EU:S GDPR och EU:s grundläggande rättigheter inom EU. I Sverige gnäller vi för att FRA kan samla in uppgifter om den elektroniska trafiken. I USA kan myndigheterna samla in vad de vill om människor inom USA och information ur vilka register som helst. Ingen får motsätta sig det, det kan ge fängelsestraff. USA kräver också att krypteringsprogram utvecklande i USA skall ha bakdörrar för myndigheterna att kunna ta sig in, vilket många motsatt sig. Reser man in i USA och har med sig en dator kräver tullen att man skall lämna ut sitt lösenord. Allt sådant är förbjudet i EU därför kan man inte lämna ut personuppgifter till USA, dvs den moderna rättsstaten håller bättre koll på sina medborgare än Östtyskland någonsin kunde komma  i närheten av på sin tid.

Nu kommer utländska servrar att flytta till EU

Företag som idag har servrar inom sina länder som inte får överföra personuppgifter kommer försöka upprätta serverhallar inom EU för att få tillstånd att lagra personuppgifter. Men här i ligger ett annat problem. Advkoat Schrems ser på den manövern så här:

Så vitt jag kan förstå så kommer det fortfarande att finnas direkt tillgång till data och nycklar med det här nya upplägget. Det betyder att all data fortfarande är underordnad Fisa-lagen och att den därför måste lämnas ut till amerikanska myndigheter när de efterfrågar den.
Källa: The Register/Ny Teknik (översättning)

vidare..

Johan Christenson, vd för svenska molnbolaget City Network, har tidigare sagt till Ny Teknik att det ”inte räcker” att servrarna står inom EU:s gränser.
Källa: Ny Teknik

Flera företag och molntjänster har alltså hamnat i ett prekärt läge. De kan inte lagra personuppgifter på sina servrar i annat land och för amerikanska företag går det inte att upprätta servrar innanför EU.

Har någon myndighet agerat i frågan

Hämtat från NyTeknik:

Många personuppgiftsansvariga har med viss fasa noterat utvecklingen i Tyskland, där en av landets dataskyddsmyndigheter har beslutat att en tysk förläggares användning av den amerikanska tjänsten Mailchimp står i strid med gdpr. Mailchimp är ett mycket populärt program för bland annat e-postmarknadsföring och nyhetsbrev och används flitigt även av många svenska företag.

Den som lämnade in anmälan ansåg att förläggaren bröt mot lagen när den låtit Mailchimp behandla klagandens e-postadress. Den tyska dataskyddsmyndigheten gick på samma linje eftersom det fanns ”indikationer” på att Mailchimp möjligen omfattas av Fisa.

[..]

Rocket Science Groups, företaget bakom Mailchimp, tolkning av detta tycks vara att alla deras kunder kan fortsätta som vanligt. Ett något nyktrare synsätt efter Schrems II är nog att som personuppgiftsansvarig säkerställa att det över huvud taget finns något sådant tekniskt tillägg att använda för att undslippa NSA:s snokande. Som vi sett ovan är det nämligen inte alls säkert att det i vissa fall existerar någon laglig väg att behandla personuppgifter i USA.
Källa: Ny Teknik
[Det fetade är gjort av Sigmag]

Vad gör Flashback nu

Hatforumet Flashback överför genom sina underleverantörer massor av personuppgifter till USA. Detta är alltså inte tillåtet enligt IMY:

Ogiltigförklarandet av Privacy Shield innebär att det inte längre är tillåtet för personuppgiftsansvariga i EU att med Privacy Shield som grund överföra personuppgifter till mottagare i USA.
Källa: IMY

För de som tvekar eller inte tror på uppgifterna kan hämta den informationen själva på Flashback här och klicka på länken “Cookie-inställningar”. Så här står det i några av styckena (inte våra påhitt utan det står i klartext på Flashback):

  • Använda exakta uppgifter om geografisk positionering
    Dina exakta uppgifter om geografisk positionering kan användas till stöd för ett eller flera syften. Detta innebär att din plats kan vara exakt inom flera meter.
    Leverantörer kan: Samla in och underhålla exakta uppgifter om geografisk positionering för att främja ett eller flera syften. Obs! Exakt lokalisering innebär att det inte finns några begränsningar när det gäller en användares lokaliseringsuppgifter. Detta kan innebära en exakthet på flera meter.
  • Läsa av enhetens egenskaper aktivt för identifiering
    Din enhet kan identifieras baserat på din enhets kombination av egenskaper.
    Leverantörer kan: Skapa en identifierare med hjälp av data som samlas in genom aktiv skanning av enheters specifika egenskaper t.ex. installerade teckensnitt eller skärmupplösning. Använd en sådan identifierare för att identifiera en enhet igen.
  • Matcha och kombinera datakällor offline
    Uppgifter från källor offline kan kombineras med din onlineaktivitet till stöd för ett eller flera syften.
    Leverantörer kan: Deterministiskt avgöra att två eller flera enheter tillhör samma användare eller hushåll. Baserat på sannolikhet avgöra att två eller flera enheter tillhör samma användare eller hushåll. Aktivt läsa av enhetens funktioner för sannolik identifiering om användare har tillåtit leverantörer att aktivt skanna enhetens egenskaper för identifiering
  • Länka olika enheter
    Olika enheter kan bestämmas som tillhörande dig eller ditt hushåll till stöd för ett eller flera syften.
    Leverantören kan: Skapa en identifierare med hjälp av data som samlas in automatiskt från en enhet med specifika egenskaper, t.ex. IP-adress, user-agent string. En sådan identifierare används för att försöka identifiera en enhet igen.
    Leverantören kan inte: Skapa en identifierare med hjälp av data som samlas in genom aktiv skanning av enheter efter specifika egenskaper, t.ex. installerat teckensnitt eller skärmens upplösning utan användares separata opt-in för att aktivt skanna enheters egenskaper för identifiering. Skapa en sådan identifierare för att identifiera en enhet igen.
  • Ta emot och använd automatiskt genererade enhetsegenskaper för identifiering
    Din enhet kan skilja sig från andra enheter baserat på data den skickar automatiskt, t ex IP-adress eller webbläsartyp.
    Leverantören kan: Skapa en identifierare med hjälp av data som samlas in automatiskt från en enhet med specifika egenskaper, t.ex. IP-adress, user-agent string. En sådan identifierare används för att försöka identifiera en enhet igen.
    Leverantören kan inte: Skapa en identifierare med hjälp av data som samlas in genom aktiv skanning av enheter efter specifika egenskaper, t.ex. installerat teckensnitt eller skärmens upplösning utan användares separata opt-in för att aktivt skanna enheters egenskaper för identifiering.

Utan att gå på djupet med vad de samlar in (det har vi gjort i tidigare inlägg) utan bara strikt väljer det de skriver i klartext så står det att de samlar in en mängd uppgifter som kan klassas som personuppgifter enligt GDPR. Bland annat är ett IP-nummer en personuppgift.

Vad kommer personuppgiftsansvarige på Flashback göra åt det? Speciellt nu med tanke på att de har ögonen på sig från IMY. Det åligger den personuppgiftsansvarige att se till att eventuella underleverantörer efterlever GDPR. Förmodligen kommer Flashback inte göra något åt detta alls och vad vi vet har de inte ens en personuppgiftsansvarig vilket de måste ha enligt GDPR.  Vad säger medlemmarna som kan nagelfaras av USA:s myndigheter?

De som inte tycker de får gehör från IMY om klagomål mot exempelvis Flashback kan kontakta organisationen None Of Your Business (Noyb). Det är en organisation som sätter press på EU:s olika dataskyddsmyndigheter, som IMY i Sverige. Den som startat och är ordförande i organisationen är advokaten som gett namn åt två stora EU-domar, dvs advokat Maximilian “Max” Schrems.

Läs mer:
Ny Teknik
IMY
The Register