Stöd för GDPR

Den europeiska dataskyddslagen GDPR ställer höga krav på hur data som innehåller personinformation hanteras. E-post innehåller alltid personinformation, både e-postadress och IP-adresser klassifieras som personinformation och dessa går inte att undvika i e-postmeddelanden. Är ni ett företag inom EU då måste ni leva upp till GDRP vilket t.ex. innebär att er e-post måste hanteras så att de lever upp till GDRP. All e-post ni skickar måste i alla led leva upp till GDPR, hur ni själva hanterar er e-postdata, ni ansvarar för hur era underleverantörer hanterar er e-post. Fallerar era underleverantörer är det ni som kommer att stå som ansvarig och eventuella sanktionsavgifter kommer att tilldömmas er.

I korthet går GDPR ut på att personinformation inte får röjas, inte kan röjas, för någon som inte lyder under GDPR. Det går att avtala mellan parter att data får hanteras och att den inte får röjas. Det går till exempel att avtala med ett företag utanför EU att de får hantera era personuppgifter, t.ex. e-post, men att det inte får röja dessa för 3:e part. Men, frågan är om de verkligen kan det, lova att de inte kommer att röja personuppgifter.

USA stiftade efter 9/11 lagen Patriot Act. I ett nötskal ger denna lag rätt för amerikanska myndigheter att avlyssna, ta del av och kräva ut all typ av information, som t.ex. telefonkommunikation och alla typer av datakommunikation, från hela världen, från tjänsteleverantörer som omfattas av USA:s jurisdiktion. Detta är en lag som alla amerikanska företag lyder under, oavsett vart de lagrar data. Amerikanska myndigheter kan t.ex. kräva av Microsoft/Google/Apple/Dropbox, som alla är amerkanska företag, att få ut all information som de har om en person. Gäller det en amerikansk medborgare behöver de ha ett domstolsbeslut för det, gäller det en icke-amerikansk medborgare, typ en svensk, då behövs inga domstolar, då kan de kräva ut det godtyckligt. Och, detta oavsett vart Microsoft/Google/Apple/Dropbox lagrar denna data, det spelar ingen roll om de sparar data på Irland, eller i Tyskland, eller i Sverige, de lyder ändå under amerikansk lag och måste följa den, oavsett.

För att man i europa skulle kunna använda sig av molntjänster av amerikanska företag skapade man något som heter EU–US Privacy Shield. Denna reglerade hur amerikanska företag fick hantera information som lyder under GDRP. Denna tillsammans med “EU:s standardavtalsklausuler” och bindande företagsbestämmelser gjorde att man ansåg att det var legitimt att i europa använda sig av amerikansk molntjänster. Företag och många i offentlig sektor började göra det.

Sommaren 2020 kom dock ett EU domstolsutslag som ställde allt detta på ända, den så kallade Schrems II domen. Denna dom förklarade användandet av “EU–US Privacy Shield” och standardavtalklausulerna som otillräckliga för att använda sig av amerikanska molntjänster. Domen var omedelbar, ingen respitperiod, den började gälla omedelbart sommaren 2020. I praktiken innebär det att företag inom EU inte kan använda amerikanska molntjänster om man vill leva upp till GDPR. Detta visas också av ett domstolsutslag nyligen där ett tyskt företag fälldes för att de använt det amerikanska “Mailchimp” för sina nyhetsbrev, som skickas med e-post. Det är till och med så att det anses att “Google Analytics” anses bryta mot GDPR. Flera svenska bolag har blivit anmälda efter “Schrems II” domen, för att deras webbplatser inte lever upp till GDPR, bland annat cdon.fi, synonymer.se, familjeliv.se, coop.se, di.se och tele2.se.

I eftermälet av “Schems II” domen har EU kommit ut med ett förtydligande, pressrelease 2021-05-20, genom de nya uppförandekoderna EU CLOUD CODE OF CONDUCT, GDPR Art 40,41. I ett nötskal säger denna:

EDPB’s REKOMMENDATIONER KRING SCHREMS II

”EDPB är mycket medveten om effekterna av Schrems II-beslutet för tusentals EU-företag och det viktiga ansvar det lägger på dataexportörerna. EDPB hoppas att dessa rekommendationer kan hjälpa dataexportörer att identifiera och genomföra effektiva kompletterande åtgärder där de behövs.”

EDPB-ordförande, Andrea Jelinek

I praktiken är det omöjligt att genomföra de kompletterande åtgärder som nu anges. Det går t.ex. inte att avtala bort med amerikanska företag att de inte skall följa amerikansk lag. Återstår då tekniska åtgärder såsom kryptering eller anonymisering av data. De kan möjligen utföras för enskilda unika informationssystem som är 100% affärskritiska för ett företag, men att utföra dessa åtgärder på bred front, för t.ex. e-post, är inte (ekonomiskt) görligt. Man kan också skönja en politisk agenda från våra eu-politiker, udden är riktad mot USA och dess dominerande it-företag, och tanken som kan skönjas är att man vill se, och stödja, europeiska alternativ till de amerikanska, som till exempel GAIA X, den EU federerade IT-infrastrukturen vilket också förstärks av vad Frankrikes Macron säger: Europa ska ha 10 techjättar vid 2030.

Så, vad betyder då allt detta? Jo, att använda amerikanska molntjänster är vanskligt ur ett GDPR perspektiv och just den frågan kommer EU knappast att lösa i närtid då politiska incitament för det saknas.

Vad gäller då våra webbhotelltjänster?

Alla våra webbhotelltjänster lagrar data inom EU och data lagras i en infrastruktur som ägs av europeiska företag. De datacenters som vi använder oss av ägs alla av europeiska (svenska och tyska) företag. All data för hemsida och e-post lagras där. Backup av hemsida och e-post lagras på samma sätt, dessutom krypterat. E-post som skickas inom eu transferas aldrig utanför eu, om inte mottagaren har satt upp det så. Vissa tilläggstjänster ägs av amerikanska bolag och vi är då tydliga med det.

Annat

Vi använder inte någon som helst spårning på våra hemsidor. Vi använder bara nödvändiga cookies som behövs för att webbplatsen skall fungera. T.ex. inloggning till kunder.support och alla funktioner som finns där. Det är cookies som bara används för kunder.support och lämnar aldrig heller denna.

På själva hemsidan registrera-doman.se använder vi inga cookies alls. Möjligen kommer vi att behöva det i framtiden om vi implementerar chat-support igen.

All e-post som vi skickar skickas genom europeisk infrastruktur och genom företag som lyder under eu jurisdiktion.


 

Schrems II, en bra sammanfattning på svenska

 

  • 0 användare blev hjälpta av detta svar
Hjälpte svaret er?

Relaterade artiklar

2020-03-23 - Servern bond ersatt

Servern bond.etableraweb.com har ersatts med en ny server, mib.etableraweb.com. Följande gäller...

Syns inte er hemsida på Google?

Hur bra är er hemsida egentligen? Får ni några besökare? Med SEO Panel kan ni analysera hur...

Använder ni Google Analytics på er hemsida?

Om ni inte behöver leva upp till GDPR då är det helt ok att använda Google Analytics, men...

Snapback av se domäner

På mångas begäran har vi nu återigen lanserat snapback av .se domäner efter en tids uppehåll....

Uppdatering av registreringsvillkor för dot se och dot nu

Registreringsvillkoren för .se respektive .nu kommer att uppdateras. De nya...