Gå till startsidan
Intranät Helsingborg

Data Privacy Framework

EU-kommissionen fattade den 10 juli 2023 ett nytt beslut om adekvat skyddsnivå för USA som gör det möjligt att överföra personuppgifter, förutsatt att mottagaren omfattas av EU-U.S. Data Privacy Framework (DPF).

Beslutet är ett resultat av förhandlingar mellan EU och USA. Det kom efter att EU-domstolen i den så kallade Schrems II-domen under sommaren 2020 ogiltigförklarade föregångaren Privacy Shield med tillhörande adekvansbeslut. Domen innebar att Privacy Shield inte längre kunde användas som stöd för överföringar av personuppgifter till USA.

Genom det nya EU-U.S. Data Privacy Framework har USA infört åtgärder för de brister som EU-domstolen konstaterade i Schrems II-domen. Bland annat genom att begränsa amerikansk underrättelsetjänsts tillgång till personuppgifter och genom att etablera en ny mekanism som gör det möjligt för EU-medborgare att söka rättelse.

Vad innebär EU-kommissionens beslut om adekvat skyddsnivå för USA?

Beslutet innebär att EU-kommissionen har bedömt att USA säkerställer en tillräckligt hög skyddsnivå för personuppgifter och att det därför är tillåtet att överföra personuppgifter till USA. Förutsättningen är att den mottagande organisationen omfattas av DPF. Lämpliga skyddsåtgärder enligt artikel 46 dataskyddsförordningen, till exempel standardavtalsklausuler eller bindande företagsbestämmelser, behöver inte användas.

Hur vet jag vilka mottagare i USA som omfattas av DPF?

De amerikanska företag och organisationer som vill ingå i DPF kan certifiera sig genom en självcertifieringsprocess. Certifierade företag och organisationer publiceras i en lista på Data Privacy Framework-programmets webbplats. Webbplatsen och listan över certifierade mottagare administreras av det amerikanska handelsdepartementet.

Behöver ytterligare skyddsåtgärder vidtas om överföringen görs till mottagare som omfattas av DPF?

Nej. Om en överföring av personuppgifter görs till tredjeland med stöd av ett beslut om adekvat skyddsnivå behöver överföringen inte kompletteras med så kallade ytterligare skyddsåtgärder.

Inför ett beslut om adekvat skyddsnivå gör EU-kommissionen en helhetsbedömning av det aktuella landets lagstiftning för att utreda om skyddsnivån för personuppgifter sammantaget är tillräcklig. Det handlar om

  • nationella lagar
  • internationella åtaganden
  • registrerades möjligheter att få rättslig prövning
  • om landet respekterar de mänskliga rättigheterna och de grundläggande friheterna.

EU-kommissionen kontrollerar också att det finns oberoende tillsynsmyndigheter som ansvarar för att dataskyddsreglerna följs och som kan hjälpa de registrerade. Genom EU-kommissionens nya beslut om adekvat skyddsnivå för USA har kommissionen gjort bedömningen att USA säkerställer en tillräckligt hög skyddsnivå för personuppgifter.

Observera att en överföring av personuppgifter till USA måste uppfylla andra relevanta regler i dataskyddsförordningen för att behandlingen ska vara laglig.

Hur länge kommer EU-kommissionens beslut att gälla?

Det är osäkert hur länge kommissionens senaste adekvansbeslut kommer att gälla. Eftersom EU-domstolen ogiltigförklarat EU-kommissionens två tidigare beslut om adekvat skyddsnivå för USA kan det även hända med beslutet om Data Privacy Framework. Stadsjuridiska enheten rekommenderar därför att verksamheter i Helsingborgs stad inte tecknar avtal där leveransen är avhängig en personuppgiftsbehandling i USA.

Kan personuppgifter överföras till USA om mottagaren inte omfattas av Data Privacy Framework?

Om den mottagande organisationen inte omfattas av Data Privacy Framework kan överföringen inte ske med stöd av EU-kommissionens beslut om adekvat skyddsnivå för USA. Det kan istället vara tillåtet att överföra personuppgifter till USA genom att vidta lämpliga skyddsåtgärder enligt artikel 46 dataskyddsförordningen, såsom standardavtalsklausuler eller bindande företagsbestämmelser.

Innan standardavtalsklausuler eller bindande företagsbestämmelser används för tredjelandsöverföring behöver en Transfer Impact Assessment (TIA) göras. TIA är en bedömning av hur effektivt överföringsverktyget skyddar personuppgifter i praktiken och om ytterligare skyddsåtgärder behöver vidtas. Processen för en TIA har beskrivits i Schrems II-domen och i EDPB:s rekommendationer 01/2020. I bedömningen kan de åtgärder som USA vidtagit genom Data Privacy Framework beaktas, eftersom de gäller all överföring till företag i USA, oavsett om mottagaren omfattas av DPF eller inte.

MN
Maria Nordstrand Författare
Publicerad: Uppdaterad: