I slutet på förra året kom ännu fler nyheter som får betydelse för it-avtal. Jag tänker på:
- EU-kommissionen har tagit fram ett utkast till adekvat skyddsnivå för ”EU-US Data Privacy Framework”,
- Microsoft annonserar att man tar första steget i ”EU Data Boundary”.
Nedan beskriver jag kort vad det handlar om.
Adekvat skyddsnivå för “EU-US Data Privacy Framework”
I min förra expertkommentar skrev jag om President Biden’s Executive Order om att införa det nya ramverket för överföring av personuppgifter mellan EU och USA, ”EU-US Data Privacy Framework”.
Parallellt har EU-kommissionen arbetat med att ta fram ett förslag till adekvat skyddsnivå för det nya ramverket. Förslaget presenterades den 13 december 2022.
Regleringarna är resultatet av den principöverenskommelse som träffades mellan EU-kommissionen och USA i mars 2022 om att hitta en ersättning för Privacy Shield, som underkändes av EU-domstolen i det så kallade Schrems II-målet.
Kommissionen skriver bland annat följande om sitt förslag i ett pressmeddelande:
”The draft decision concluded that the United States ensures an adequate level of protection for personal data transferred from the EU to US companies.”
Kommissionens förslag har översänts till Europeiska Dataskyddsstyrelsen (EDPB) för synpunkter. Därefter kommer man att inhämta godkännande från företrädare för EU:s medlemsstater och EU-parlamentet har rätt att yttra sig över förslaget innan det slutligt antas av Kommissionen.
Det blir spännande att följa hur förslaget tas emot, inte minst av EDPB. Max Schrems organisation, noyb, är inte helt oväntat starkt kritisk till förslaget och skriver bland annat:
”As the draft decision is based on the known Executive Order, I can’t see how this would survive a challenge before the Court of Justice.”
Om EU-kommissionen antar ett beslut om adekvat skyddsnivå, kommer personuppgifter fritt kunna överföras till amerikanska företag som har anslutit sig till det nya ramverket.
Avslutningsvis har Kommissionen tillkännagivit att man kommer att göra en regelbunden översyn av ”EU-US Data Privacy Framework”, möjligen vis av tidigare erfarenheter från Privacy Shield. Den första granskningen ska ske inom ett år från antagandet. Målet med översynen är att granska om relevant lagstiftning i USA har implementerats till fullo och fungerar i praktiken.
Första steget i ”Microsoft EU Data Boundary” taget
Microsoft har meddelat att man per den 1 januari 2023 påbörjat den första fasen i en utrullning av sin ”EU Data Boundary solution” till offentlig sektor och kommersiella kunder inom EU och Efta (Island, Liechtenstein, Norge och Schweiz).
Vad innebär Microsoft ”EU Data Boundary”?
Förenklat kan man beskriva det som att Microsoft utvidgar möjligheterna för sina kunder att lagra och behandla personuppgifter inom EU/EES och minskar dataflödena till länder utanför EU/EES. Initiativet kan sägas vara ett inspel i diskussionerna om överföring av personuppgifter till tredje land efter Schrems II-domen.
I en roadmap som Microsoft publicerat beskrivs utrullningen närmare.
Fas 1, som alltså påbörjades den 1 januari i år, omfattar kunddata för Microsoft 365, Dynamics 365, Power Platform och merparten av Azure-tjänsterna inom EU och Efta.
I Fas 2 kommer ”EU Data Boundary” även omfatta pseudonymiserad data som genereras genom kundens användning av Microsofts tjänster (ttill exempel metadata). Sådan data kommer att lagras och behandlas endast inom EU och Efta. Det framgår inte när Fas 2 är tänkt att inledas.
Fas 3, slutligen, handlar om supportdata. Microsoft planerar att per halvårsskiftet 2024 addera möjligheten att behandla och lagra data som tas emot i samband med utförandet av teknisk support inom ”EU Data Boundary”. Samtidigt skriver Microsoft att bolagets underbiträden (underförstått utanför EU/EES) även fortsättningsvis kan behöva få tillgång till personuppgifter som lagras och behandlas inom ”EU Data Boundary”. Tillhandahållande av sådan data kommer att ske endast via säker fjärranslutning.
Dessutom kommer Microsoft utöka sin supportpersonal inom EU och planerar att möjliggöra för kunder att mot ersättning få tillgång till en första supportkontakt inom EU.
Några reflektioner
Microsoft erbjuder redan i dag lagring av vilande personuppgifter (kunddata) inom EU, bland annat i Sverige. Att bolaget nu har annonserat att man sjösätter ”EU Data Boundary” innebär ytterligare ett steg mot förenkling av behandlingen av personuppgifter i samband med Microsofts molntjänster.
Samtidigt är utrullningen i ett tidigt skede och många detaljer är ännu inte kända. Den stora utmaningen får nog anses vara supportdata. Även fortsättningsvis kan, enligt vad Microsoft meddelat, supportpersonal (Microsofts eller dess underleverantörers) komma behöva få tillgång till kundernas personuppgifter från länder utanför EU/EES, till exempel vid second line eller third line support.
Vi kan räkna med att det kommer att komma mera information från Microsoft som klargör de områden där man hittills har informerat med breda penseldrag. Det blir intressant att se hur pass heltäckande ”EU Data Boundary” i slutänden kommer att bli, till exempel när det gäller supportdata.
Peter Nordbeck
Advokat, Advokatfirman Delphi
Vill du bli bättre på att projektleda upphandlingar?
Snacka om att sila mygg (meningslösa förslag och roadmaps) och svälja Cloud Act-kameler!