Tillbaka till bloggen
blog image

Klargörande från EU om amerikanska molnlösningar och amerikanskt ägda bolag

Publicerad: 18 juli 2020

Flera aktörer i visselblåsarbranschen har gjort en välvillig tolkning av GDPR för att kunna bygga sina visselblåsarsystem på amerikanska lösningar som Microsoft Azure. En ny EU-dom klargör nu att sådana lösningar inte är kompatibla med GDPR.

I det så kallade Schrems II-målet (C-311/18) upphävs ”Privacy Shield”, vilket är det arrangemang som många visselblåsarleverantörer har lutat sig emot för att kunna motivera lösningar på sådana plattformar. Domen innebär indirekt att tillräckliga garantier för efterlevnad av GDPR inte kommer kunna ges, på grund av de amerikanska molnleverantörernas behandling av personuppgifter.

”Det är många företag, myndigheter och organisationer som kommer att behöva se över sina visselblåsarlösningar under hösten,” säger Lanteros vd Petter Tiger. ”Vi har ofta förvånats över att så få leverantörer väljer svensk datalagring och upplägg med egna servrar där man kontrollerar sin servermiljö."

Domen tydliggör att amerikansk lagstiftning innebär att amerikanska bolag och deras dotterbolag inte kan behandla personuppgifter på ett tillräckligt säkert sätt, eftersom obehöriga (amerikanska myndigheter) kan komma att bereda sig tillgång till personuppgifter. Utan Privacy Shield måste man nu luta sig mot EU-kommissionens standardklausuler för överföring av personuppgifter till tredje land.

En vanlig missuppfattning är att problemet kan hanteras genom att datacenter placeras inom EU, men skyldigheten för amerikanska molntjänstleverantörer gäller under vissa omständigheter oavsett geografi.