Efterdyningarna av Schrems II

I juli 2020 meddelade EU domstolen den s.k. Schrems II-domen där det klargjordes att överföringar av personuppgifter till USA inte har ett tillräckligt skydd för EU-medborgare. Försäkringsjätten Folksam är ett företag som nu har tyckts drabbats av verkningarna av Schrems II.

Folksam anmälde sig själva till Datainspektionen efter upptäckten att bolaget delat cirka en miljon personuppgifter på ett olagligt sätt. Det var under en internrevision som Folksam uppmärksammade att delningar av personuppgifter hade skett till företag som Facebook, Google, Microsoft, LinkedIn, Adobe osv. som alla har sitt huvudsäte i USA. Det har blivit allt tydligare, efter Schrems II-domen, att den digitala integriteten är oerhört viktig samt att det ställs höga krav på bolag över kontrollen på personuppgifter.

Syftet med delningen från Folksam sida har varit att analysera vilken information som företagets inloggade kunder och andra besökare sökt efter på företagets hemsida. Analyserna har sedan använts för att kunna ge anpassade erbjudanden bland annat i Folksams kommunikationskanaler. Flertalet av de personuppgifter som delats har varit att betrakta som känsliga, exempelvis IP-adresser, personnummer, fackligt medlemskap och graviditet. Folksam har efter upptäckten begärt att företagen som mottagit personuppgifterna ska radera dem omedelbart. Andra företag bör troligtvis också se över och göra interna kontroller på samma sätt Folksam gjort för att inte riskera stora stämningar samt stora vitesbelopp.

Hur utfallet blir för Folksam återstår att se.