Privacy Shield

Vad betyder beslutet kring Privacy Shield för dig som använder Esris produkter?

Den 16 juli 2020 slog EU-domstolen fast att överföring av personuppgifter till USA inte längre får ske baserat på Privacy Shield-regelverket. 

Lokala installationer

Produkter och system som är installerade i den egna organisationen eller outsourcade till extern miljö påverkas inte alls. I dessa sammanhang är er organisation personuppgiftsansvarig eller agerar biträde åt tredje part. Esri är inte inblandade alls i den processen. Här är inget förändrat vad gäller ansvar och rätten att lagra information. Har ni ett personuppgiftsbiträdesavtal med Esri för denna typ av system så gäller de avtalen i oförändrad form.

ArcGIS Online

I de fall er organisation använder ArcGIS Online och lagrar personuppgifter där är ni personuppgiftsansvariga (eller personuppgiftsbiträde åt tredje part) och Esri är att betrakta som ett personuppgiftsbiträde. Givet att ni inte har ett ArcGIS-abonnemang som specifikt lagrar informationen inom EU, lagras data i datacenter lokaliserade i USA. I dessa fall är alltså de personuppgifter ni lagrar i ArcGIS online överförda till USA.

Hur påverkas då användning av ArcGIS Online av annulleringen av Privacy Shield?

Låt oss först klargöra vad som är bestämt. Så här skriver Datainspektionen angående beslutet:

” EU-domstolen slog igår fast att Privacy Shield-avtalet mellan EU och USA inte ger ett tillräckligt skydd för personuppgifter när dessa förs över till USA. Ogiltigförklarandet av Privacy Shield innebär att det inte längre är tillåtet för personuppgiftsansvariga i EU att med Privacy Shield som grund överföra personuppgifter till mottagare i USA. Domstolen ansåg däremot att Kommissionens beslut om standardavtalsklausuler är giltigt och att sådana kan användas vid överföring till länder utanför EU och EES – i tillämpliga fall – tillsammans med ytterligare skyddsåtgärder.”

Källa: https://www.datainspektionen.se/nyheter/europeiska-dataskyddsstyrelsen-diskuterar-privacy-shield-domen/

Det är regelverket kring Privacy Shield som inte längre ger tillräcklig grund för att överföra personuppgifter till USA. Däremot är EUs standardavtalsklausuler fortfarande giltiga.

ArcGIS Online möter kraven inom GDPR

Vad gäller överföring av personuppgifter till USA, inom ArcGIS online, garanterar Esri att GDPRs regelverk efterlevs oberoende av Privacy Shield. Detta är ett urklipp från den globala kommunikationen på engelska:

”Privacy Shield
On July 16, 2020, the Court of Justice of the European Union issued a judgment declaring as “invalid” the European Commission’s Decision (EU) 2016/1250 of 12 July 2016 on the adequacy of the protection provided by the EU-U.S. Privacy Shield. As a result of that decision, the EU-U.S. Privacy Shield Framework is no longer a valid mechanism to comply with EU data protection requirements when transferring personal data from the European Union to the United States.

Independent of Privacy Shield, Esri customers still have assurance that our practices for ArcGIS Online are in alignment with GDPR:

  1. Esri already commits to adequate data privacy safeguards in place under the EU Model Clauses through our Data Processing Addendum (DPA).
  2. Esri recently introduced the EU Region for ArcGIS Online which allows customers to store their data in the EU.
  3. Esri utilizes a third-party to assess the privacy adequacy of our company operations.”

Källa: https://www.esri.com/arcgis-blog/products/arcgis-online/administration/dns-security-and-privacy-shield-update/

Lagring inom EU numera standard för ArcGIS Online

Som anges i punkt 2 i vårt uttalande och möjligheten att lagra data i EU, är lagring inom EU standard för nya ArcGIS Online abonnemang sedan våren 2020. Med data avses då Featurelager, Tiles, datafiler, webbkartor, bilagor, scener och dokument.

Övergång till lagring inom EU för befintliga ArcGIS Online abonnemang

Det finns ingen möjlighet att automatiskt konvertera en befintlig instans från lagring av data i USA till lagring inom EU. En kopiering till ett nytt ArcGIS Online konto med lagring inom EU kan dock göras semi-automatiskt mha befintliga verktyg och skript. Den som vill utföra en sådan kopiering kan kontakta oss för hjälp med förfarandet.

Ingen praktisk förändring har skett

Slutsatsen är att EU-domstolens beslut per 16 juli inte påverkar Esris efterlevnad av GDPR. Det är fortfarande möjligt att lagra personuppgifter i ArcGIS Online och efterleva GDPR. 

Frågor eller ärenden som rör integritet?

Skicka e-post till integritet@esri.se

Starta mitt meddelande