Om du kan lagra data i molnet eller inte beror på vilken typ av data och molntjänst det är som gäller. Schrems II-domen som slogs fast i EU-domstolen den 16 juli 2020 har nämligen ändrat förutsättningarna för lagring av data utanför EU eller hos icke europeiska företag radikalt.
Nya riktlinjer efter Schrems II-domen
När Schrems II-domen slogs fast i EU-domstolen ogiltigförklarades regelverket Privacy Shield. Det innebär att alla personuppgiftsöverföringar till mottagare utanför EU nu är olagliga då regelverket kring GDPR inte kan garanteras. EU-domstolen slog också fast att EU-kommissionens standardavtalsklausuler som grund för överföring av personuppgifter fortfarande är giltiga, vilket betyder att det kan krävas ytterligare åtgärder för att garantera skyddet för personuppgifter.
Om en överföring sker med stöd av EU-kommissionens standardavtalsklausuler behöver en personuppgiftsansvarig reda ut om överföringen kan fortgå eller om ytterligare skyddsåtgärder behövs.
Det ligger alltså på varje personuppgiftsansvarig att bedöma om och vilka åtgärder som behöver göras. Om inte ytterligare skyddsåtgärder är möjliga behöver den som är personuppgiftsansvarig avbryta överföringen.
I Schrems II-domen står det att tillsynsmyndigheter i medlemsländerna aktivt ska ingripa mot personuppgiftsansvariga som utan rättsligt stöd överför personuppgifter till tredje land.
Vad räknas som en personuppgift?
Enligt Integritetsskyddsmyndigheten, tidigare Datainspektionen, är personuppgifter alla de uppgifter och all den information som kan knytas till en levande person. Det kan bland annat handla om namn, adress och personnummer, men även fotografier på identifierbara personer och ljudinspelningar som lagras digitalt kan räknas som personuppgifter (även om det inte nämns några namn i inspelningen).
Kan jag lagra vår data i molnet?
Om du kan lagra er data i molnet beror alltså på. Om du ska lagra data hos europeiska molnleverantörer som följer europeisk lagstiftning är det fritt fram.
Det är dock viktigt att den som är personuppgiftsansvarig kontrollerar att datalagringen sker i Europa hos europeiska företag som följer europeiska lagar.
Om er data ska lagras utanför EU eller hos icke europeiska företag har den som är personuppgiftsansvarig ett mycket omfattande ansvar att se till att ni har vidtagit tillräckliga skyddsåtgärder för att skydda data.
Har du frågor eller vill du veta mer?
Kontakta oss på support@epm.se så hjälper vi dig.
