Det är effekten av ett beslut som EU-domstolen fattade 6 oktober. Domstolsbeslutet innebär att Safe Harbour-avtalet som EU-kommissionen och USA ingick år 2000 har förklarats ogiltigt. De så kallade Safe Harbour-principerna ger inte EU- medborgares personuppgifter det skydd som krävs enligt EU-rätten och Europeiska unionens stadga om de grundläggande rättigheterna.
EU:s Artikel 29-grupp som består av representanter från alla EU-länders motsvarighet till svenska Datainspektionen, har satt en tidsfrist till slutet av januari 2016 för EU att förhandla fram ett nytt avtal, ”Safe Harbour 2.0”, som motsvarar kraven på datasäkerhet och personlig integritet som EU-domstolen fastslagit att saknas i det tidigare avtalet.
– Grundproblemet är The Patriot Act från oktober 2001 som ger National Security Agency, NSA, rätt att kräva in personuppgifter som finns hos amerikanska företag, säger Jonatan Seeskari, IT-jurist vid Advokatfirman Lindahl i Uppsala.
Lindahl är huvudsakligen inriktad på företagskunder, och många har frågat Jonatan Seeskari och hans kolleger om hur de ska hantera sina kontakter med amerikanska kunder och moder- eller dotterbolag i fortsättningen.
– Innan ett nytt avtal finns på plats är de råd vi ger att använda EU-kommissionens standardavtalsklausuler med innebörden att personuppgiftsbiträden, det vill säga de företag som behandlar personuppgifter för det överförande företagets räkning, åtar sig att följa EU:s dataskyddsregler. Koncerner kan använda sig av så kallade ”Binding Corporate Rules” med samma innebörd, säger Jonatan Seeskari.
Ett av många svenska företag som berörs är Hansoft, it-företag med huvudkontor i Uppsala sedan 2005, och med dotterbolag i San Francisco och Tokyo. Hansoft säljer produkter för projektledning och i höst har Hansoft lanserat en tjänst där kundernas användardata och personuppgifter ligger i molnet.
– I USA har EU-domstolens beslut väckt oro för att affärsmöjligheter ska försvinna till Europa. Samma dag som domen meddelades ville en av våra underleverantörer i USA att vi skulle underteckna ett nytt avtal med klausuler som är godkända av EU, berättar Maria Ingelsson, Hansofts jurist vid San Francisco-kontoret.
Med molntjänster blir också frågan om platsen för servern där data lagras intressant, och vilket lands lagstiftning som ska gälla om servern ägs av ett utländskt bolag.
– Ryssland kräver att rysk persondata lagras på servrar i Ryssland. Som utländskt företag kan man antingen dra sig tillbaka eller anpassa sig. Vi har valt att dra oss ur affärer i Ryssland, säger Patric Palm, styrelseordförande för, och en av grundarna av, Hansoft.
Såväl Patric Palm som Maria Ingelsson poängterar att frågorna om Safe Harbour och dataskydd är väldigt komplexa eftersom så många länder och många olika lagstiftningar berörs:
– Det är inte ovanligt att svenska företag och till och med myndigheter inte ens vet exakt vilka krav som den svenska personuppgiftslagen, PUL, ställer. Det visade sig till exempel när kommuner började använda molntjänster, säger Maria Ingelsson.
Hennes och Patric Palms uppmaning till företagare är att se över sin datahantering och avtalen som gäller för dem:
– Hansoft fokuserar på kundernas önskemål, och deras största oro gäller oftast inte lagstiftningen kring personuppgifter utan risken att företagsdata försvinner eller kommer i orätta händer. Men samtidigt är en internationell trend nu att i stället för att stänga in information, dela den för snabbare utveckling. Tesla har till exempel släppt alla sina patent, säger Patric Palm.