Dom i det så kallade Schrems II-målet

Torsdag den 16 juli kom domen i det så kallade Schrems II-målet. Den här domen har stor betydelse för hantering av personuppgifter, och det som kallas GDPR (EU:s dataskyddsförordning).

Nu har domen inte hunnit analyseras och stötas och blötas så mycket ännu, men något man i vart fall verkar vara överens om är att den så kallade Privacy shield-mekanismen för överföring av personuppgifter till USA har ogiltigförklarats. Sedan uttalar man sig i domen också om standardavtalsklausuler, som är en annan mekanism som man har använt sig av för överföring till länder utanför EU. Domen underkänner inte standardavtalsklausuler som sådana, men påpekar att den personuppgiftsansvarige har ett ansvar att stoppa överföringen i vissa fall.

Det finns några andra grunder för överföring utanför EU/EES, men det handlar om ganska speciella situationer som jag inte går in på här.

Vad innebär det här? Ja, att bryta mot EU:s dataskyddsförordning innebär som alltid en risk för sanktionsavgifter och skadestånd.

Så vad ska man göra? Vi hoppas förstås på lite vägledning från Datainspektionen, och från EU framöver. Domen är som sagt alldeles färsk, och vi får återkomma när vi har mer information att dela med oss av.

För närvarande finns domen inte översatt till svenska, men går att ta del av på engelska:
Domen i Schrems II-målet

Datainspektionen har i skrivande stund inte publicerat något, men deras norska motsvarighet har en nyhet:
Nyhet från Norges datainspektion

I övrigt kan man googla på Schrems II och komma till flera artiklar och analyser.

Text: Sofia Kullman