FS Data

FS Data - webbhotell, domännamn, e-post, servrar

Server i USA – är det olagligt nu?

Personuppgifter är viktiga saker. Det är något man ska hantera varsamt och säkert, i enlighet med rådande lagar. I Sverige regleras hanteringen av personuppgifter i bl a Personuppgiftslagen (PuL) och Lag om elektronisk kommunikation (LEK).

Internet är dock inte begränsat till enskilda länder. Det finns därför ett antal internationella lagar och avtal som reglerar hur personuppgifter får hanteras och överföras mellan olika länder. Inom EU gäller t ex Dataskyddsdirektivet.

EU och USA har sedan år 2000 haft en överenskommelse, det sk. Safe Harbour-avtalet, med regler som ska skydda den personliga integriteten. Om man som företag/organisation i USA har ingått detta avtal så har det ansetts vara en adekvat skyddsnivå för överföring av personuppgifter (från EU till USA).

Det är denna punkt i PuL som Safe Harbour-avtalet (och Dataskyddsdirektivet) har tillgodosett:

33 § Det är förbjudet att till tredje land föra över personuppgifter som är under behandling om landet inte har en adekvat nivå för skyddet av personuppgifterna. Förbudet gäller också överföring av personuppgifter för behandling i tredje land.

De senaste åren har dock ett antal amerikanska myndigheter varit rätt så duktiga på att spionera på enskilda individer, även utan grund för det. Edward Snowden har som bekant avslöjat hur Google, Apple, Facebook, Microsoft mfl amerikanska företag har lämnar ut uppgifter om sin användare till bl a CIA och NSA. Det trots att dessa företag har ingått Safe Harbour-avtalet.

Så nu har EU-domstolen ogiltigförklarat Safe Harbour-avtalet.

EU ger tummen ner till USADet amerikanska systemet ”möjliggör […] ingrepp från de amerikanska myndigheternas sida i enskilda personers grundläggande rättigheter” samt att det i USA inte ”finns regler som syftar till att begränsa sådana eventuella ingrepp, eller att det finns något effektivt rättsligt skydd mot dessa ingrepp.” enligt EU-domstolen.

Nu är EU-domstolens beslut väldigt nytt (det skedde härom veckan), så det finns inga prejudikat här än. Sedan kan (främst större) företag/organisationer, om vi har förstått det rätt, upprätta avtal med enskilda länder, utanför Safe Harbour. Men det går inte att blunda för vikten av det här.

Att överföra personuppgifter från EU till USA, t ex via en server, kan nu vara olagligt.

Nu ska man inte gripas av panik om man har en server i USA med personuppgifter från EU. EU-domstolens beslut kommer garanterat att granskas och testas ordentligt. Men man bör ändå vara vaksam. Att sätta upp en ny server i USA för detta syfte är kanske inte så smart. Desto bättre att planera för en flytt ”hemåt” istället.

Sedan är en snabb server i Sverige att föredra oavsett, särskilt om man har en svensk målgrupp.

Har du några tankar eller funderingar kring detta? Lämna gärna en kommentar här nedan!

Datainspektionen stoppar smarta formulär

DatainspektionenDen stora nyheten i den svenska e-handelsbranschen denna vecka, det är Datainspektionens utlåtande om fackföreningen Unionens webbplats. Unionen har haft en funktion på sin webbplats där man har kunnat ange ett personnummer, för automatisk uppslagning och enkel komplettering av personuppgifter i ett medlemsformulär.

Denna funktion är dock, enligt Datainspektionen, inte tillåten enligt personuppgiftslagen.

Det finns en risk att en funktion som detta används som en adressupplysningstjänst. Då kan vem som helst, med tillgång till ett personnummer, använda funktionen för att få reda på en annan persons adress. Redan 2010 gav Datainspektionen ett identiskt utlåtande om Onoffs e-handelssida.

Detta har dock inte stoppat e-handlare runt om i Sverige från att erbjuda sådana här smarta formulär. Ett smart formulär underlättar nämligen processen att fylla i ett orderformulär, vilket ökar sannolikheten för försäljning.

Det finns 100-tals, om inte 1 000-tals, svenska e-handelssidor med smarta formulär som detta.

Reaktionerna på Datainspektions utlåtande om Unionens webbplats har inte låtit vänta på sig. Diskussioner om detta pågår både hos Ehandel.se och hos Ehandel.org. Frågan är om Datainspektions utlåtande här kommer att bli lika tandlös som lagen om skräppost och cookies på webbplatser.

Ett företag som erbjuder en alternativ lösning för sådana här smarta formulär, det är det svenska betalningsföretaget Klarna. Med deras tjänst Klarna Checkout kan man fylla i ett formulär utifrån en e-postadress och ett postnummer. Det ska bli intressant att se hur den tjänsten utvecklas och om den omfattas av Datainspektionens agerande.

Innan vi lanserade vår nuvarande hemsida så hade vi även planer på att erbjuda ett smart orderformulär. Vi gjorde om hela vårt orderformulär, så att det blev enklare/tydligare, men utelämnade den automatiska uppslagningen av personuppgifter. Till viss del så berodde det på rådande oklarheter i vår lagstiftning.

Har ni ett smart formulär på er hemsida idag? Hur tycker ni att det fungerar och planerar ni att anpassa er efter Datainspektionens utlåtanden? Lämna gärna en kommentar här nedan.