Integritet och säkerhet

Schrems II

Mot bakgrund av den s.k. Schrems II-domen i EU kan europeiska företag inte längre överföra personuppgifter till USA med stöd av Privacy Shield. I ett fåtal fall får detta konsekvenser för Fortnox och våra kunder avseende enskilda underleverantörer. Fortnox bevakar läget noggrant och kommer att vidta åtgärder i den mån nödvändigt för att även fortsättningsvis efterleva gällande dataskyddsregler.

Information om överföring av personuppgifter till USA

I den allmänna dataskyddsförordningen finns regler om när och hur överföring av personuppgifter till länder utanför EU, så kallade tredje länder, är tillåten. Överföring av personuppgifter från EU till USA har tidigare kunnat ske genom bland annat Privacy Shield, ett ramverk för certifiering av en tillräckligt hög skyddsnivå för personuppgiftsbehandling hos amerikanska företag.

EU-domstolen har genom den så kallade Schrems II-domen (mål C311-18) slagit fast att Privacy Shield-avtalet mellan EU och USA inte ger tillräckligt skydd för personuppgifter när dessa förs över till USA.

Domen innebär att det inte längre är tillåtet för Fortnox eller andra europeiska företag att överföra personuppgifter till amerikanska underleverantörer med stöd av Privacy Shield.

Fortnox behandlar sina kunders personuppgifter huvudsakligen i Sverige, men vi använder ett fåtal system och tjänster kopplade till enstaka underleverantörer som medför att personuppgifter överförs till USA.

Sedan domen har vi arbetat löpande för att hantera de rättsliga konsekvenser som domen medför. Vi undersöker bland annat möjligheterna att byta ut våra amerikanska underleverantörer till motsvarande underleverantörer inom EU. Eventuella byten till europeiska underleverantörer kommer att ske i enlighet med gällande personuppgiftsbiträdesavtal.

Parallellt med vårt ovannämnda arbete, bevakar vi rättsläget från Integritetsmyndigheten och den europeiska dataskyddsstyrelsen.

Om du har ytterligare frågor är du välkommen att kontakta oss.