Överföring av personuppgifter till USA och Data Privacy Framework
Många företag i Sverige genomför överföring av personuppgifter till USA och det är viktigt att känna till vad Data Privacy Framework innebär. Den 10 juli 2023 fattade EU-kommissionen beslut om adekvat skyddsnivå för organisationer som ansluter sig till EU-US Data Privacy Framework. Detta regelverk är även kallat för DPF och är ett ramverk för dataskydd. Företag i Sverige måste följa reglerna i EU:s allmänna dataskyddsförordning vid behandling av personuppgifter. Även kallat för GDPR, som står för the General Data Protection Regulation. Det finns många olika viktiga saker att tänka på gällande GDPR.
Det är därmed inte hela USA som EU-kommissionens beslut om adekvat skyddsnivå gäller. Istället gäller det enbart de amerikanska organisationerna som är anslutna till EU-US Data Privacy Framework.
Vad innebär EU-kommissionens beslut om adekvat skyddsnivå för USA i praktiken?
Beslutet innebär att det är tillåtet för ett europeiskt bolag att överföra personuppgifter till USA, om mottagaren är ett amerikanskt bolag anslutet till EU-US Data Privacy Framework. Dessutom innebär beslutet att det inte är nödvändigt att vidta ytterligare lämpliga skyddsåtgärder vid överföringen. Exempelvis behöver standardavtalsklausulerna (SCC) inte vara en del av avtalet mellan den aktör som överför personuppgifterna och mottagaren. En överföring som sker med stöd i EU-kommissionens beslut om adekvat skyddsnivå behöver inte heller bli kompletterad av några särskilda extra skyddsåtgärder enligt artikel 46 i GDPR.
Integritetskyddsmyndigheten (IMY) har publicerat mer information om innebörden av adekvat skyddsnivå. Integritetskyddsmyndigheten (IMY) är den svenska tillsynsmyndigheten för bland annat GDPR-relaterade ärenden.
Viktigt att tänka på vid överföring av personuppgifter till USA och EU-US Data Privacy Framework
Ett svenskt företag måste alltid vidta lämpliga tekniska och organisatoriska säkerhetsåtgärder vid överföring av personuppgifter till tredje land, för att skydda dem. Dessutom måste svenska företag även i övriga följa samtliga bestämmelser i GDPR. Detta innefattar att följa de grundläggande dataskyddsprinciperna vid behandling av personuppgifter enligt GDPR. Detta gäller även om överföring av personuppgifter sker till ett bolag i USA som är anslutet till EU-US Data Privacy Framework.
Kort sagt innebär allt ovanstående att ett företag i Sverige får överföra personuppgifter till USA med stöd i EU-kommissionens beslut om adekvat skyddsnivå, om det sker till ett amerikanskt bolag som är anslutet till EU-US Data Privacy Framework. Överföringen av personuppgifterna kan då ske som om det vore mellan två bolag registrerade inom EU/EES-området.
Den som överför personuppgifter till ett bolag i USA som är anslutet till EU-US Data Privacy Framework, måste också vidta följande åtgärder:
– Kontrollera att det mottagande amerikanska bolaget hänvisar till EU-US Data Privacy Framework i sin ”Privacy Policy”;
– Säkerställa att deras ”Privacy Policy” faktiskt omfattar överföringen i fråga;
– Säkerställa att deras ”Privacy Policy” omfattar den behandling av personuppgifter som den personuppgiftsansvarige vill att det aktuella amerikanska bolaget i USA ska utföra; och
– Genomföra en konsekvensbedömning vid överföring av personuppgifter till tredjeland enligt GDPR. En så kallad ”Data Transfer Impact Assessment” (DTIA).
Kom ihåg att genomföra en konsekvensbedömning vid överföring av personuppgifter till tredjeland enligt GDPR (DTIA)
Vid all överföring av personuppgifter till ett tredjeland, inbegripet USA, måste man alltid genomföra en konsekvensbedömning. I dessa fall gäller det specifikt en konsekvensbedömning av dataöverföring till tredje land. På engelska är detta kallat för ”Data Transfer Impact Assessment” (DTIA). En Data Transfer Impact Assessment är ett omfattande arbete, som bland annat handlar om att analysera mottagarlandets lagar och myndigheter. Det är även viktigt att säkerställa att de registrerade kan få sina rättigheter tillgodosedda.
Digitala Juristerna arbetar inom GDPR och kan hjälpa till med att utföra en Data Transfer Impact Assessment till fast pris. Detta ingår även som en del i ett av deras GDPR-paket, som innehåller flera viktiga avtal och dokument företag behöver för att uppfylla kraven i GDPR. Exempelvis dataskyddspolicy enligt artiklarna 13-14 GDPR, registerförteckning enligt artikel 30 GDPR och personuppgiftsbiträdesavtal enligt artikel 28 GDPR. Dessutom ingår olika interna rutiner, loggböcker och checklistor i Digitala Juristernas GDPR-paket. På så sätt kan ditt företag styrka att det följer GDPR i praktiken och uppfyller därmed principen om ansvarsskyldighet enligt artikel 5.2 GDPR.
Är det tillåtet att överföra personuppgifter till USA om mottagaren inte är omfattad av EU-US Data Privacy Framework?
Ja, det kan vara tillåtet. Men då behöver man vidta ytterligare och lämpliga skyddsåtgärder enligt artikel 46 i GDPR. Exempelvis genom att ingå EU-kommissionens standardavtalsklausuler (SCC 2021) för överföring av personuppgifter till tredjeland. Om den mottagande organisationen av personuppgifterna i USA inte är ansluten till EU-US Data Privacy Framework, är det alltså inte tillåtet att överföra personuppgifterna med stöd av EU-kommissionens beslut om adekvat skyddsnivå för USA.
Vilka amerikanska bolag är anslutna till EU-US Data Privacy Framework?
Det finns en publicerad lista online som anger de amerikanska bolagen som vid var tid är anslutna till EU-US Data Privacy Framework. Det är möjligt att söka efter aktörer för att se om de är anslutna. Klicka här för att komma till listan över amerikanska bolag som är anslutna till EU-US Data Privacy Framework.
I normala fall fattar EU-kommissionen beslut om adekvat skyddsnivå för ett helt land. Men i detta fall har USA som land inte en adekvat skyddsnivå. Det är endast amerikanska bolag som är anslutna till EU-US Data Privacy Framework som har en adekvat skyddsnivå. Observera att detta beslut är föremål för omprövning. Alla beslut om adekvat skyddsnivå genomgår en omprövning och beslutet kan bli förändrat. Därför är det viktigt att hålla sig uppdaterad kring de länder och bolag som har adekvat skyddsnivå vid varje givet tillfälle. Det är därmed inte något permanent beslut.
Dessutom är sannolikheten stor för att EU-US Data Privacy Framework kan komma att bli ogiltigförklarat i framtiden av EU-domstolen. Precis som det hände med det tidigare EU-US Privacy Shield, genom den så kallade Schrems II-domen.
På Integritetsskyddsmyndighetens webbplats du även hitta en lista med de länder utanför EU/EES-området som EU-kommissionen har bedömt har en adekvat skyddsnivå.