Nytt ramverk för överföring av personuppgifter mellan EU och USA

Den 10 juli 2023 meddelade EU-kommissionen ett nytt beslut om sk adekvat skyddsnivå för överföring av personuppgifter baserat på det transatlantiska ramverket EU-US Data Privacy Framework (”DPF”) som har ingåtts mellan EU och USA.  Beslutet innebär att USA numera anses erbjuda ett skydd likvärdigt det som ges inom EU avseende de registrerade och deras personuppgifter. I praktiken innebär detta att bolag och organisationer inom EU numera får överföra personuppgifter till amerikanska bolag och organisationer som har anslutit sig till och blivit certifierade under DPF, utan att exempelvis behöva förlita sig på EU-kommissionens standardavtalsklausuler i kombination med kompletterande skyddsåtgärder.

Certifikatet under DPF innebär att den anslutna organisationen har åtagit sig att följa de riktlinjer som återfinns i DPF, och ramverket i sig kommer att administreras och överses av den amerikanska myndigheten US Department of Commerce.

De åtgärder som USA har vidtagit för att erbjuda ett tillräckligt skydd för de registrerade är bland annat att amerikanska underrättelsetjänsters möjlighet att begära åtkomst till EU-medborgares personuppgifter numera är begränsad till vad som är nödvändigt och proportionerligt för att skydda den
nationella säkerheten, samt att det har inrättats en självständig domstol (Data Protection Review Court) dit den registrerade kan klaga om denne har fått sina personuppgifter utlämnande till en amerikansk
underrättelsemyndighet.   

Det åligger fortfarande ett ansvar hos organisationen inom EU som överför personuppgifterna att säkerställa att den mottagande organisationen i USA faktiskt innehar ett certifikat under DPF. Ni hittar certifierade organisationer här. Om den mottagande amerikanska organisationen är med i listan och har ett certifikat under DPF, får tredjelandsöverföringen ske utan några ytterligare eller kompletterande skyddsåtgärder.

EU-kommissionens adekvansbeslut med anledning av DPF ska revideras regelbundet av EU-kommissionen tillsammans med bland annat företrädare från europeiska dataskyddsmyndigheter och relevanta amerikanska myndigheter. Den första utvärderingen av beslutet ska ske ett år efter dess
ikraftträdande i syfte att säkerställa att de åtgärder som angetts i ramverket har implementerats och fungerar effektivt i praktiken. 

Även intresseorganisationen none of your business (”NOYB”) som var drivande i ogiltighetsförklaringarna av de tidigare transatlantiska ramverken mellan EU och USA – Safe Harbor-avtalet och Privacy Shield-avtalet – har kritiserat DPF och har publikt gått ut med att de vid behov återigen kommer att utmana EU-kommissionens adekvansbeslut. 

Vilka åtgärder behöver svenska verksamheter vidta?
EU-kommissionens adekvansbeslut med anledning av DPF föranleder flera förändrade krav på svenska bolag och organisationer. En översyn av befintlig dokumentation och policys är därför att rekommendera.
Att prioritera:

Varje verksamhet bör kartlägga vilka amerikanska organisationer som mottar personuppgifter genom tredjelandsöverföringar, samt kontrollera och säkerställa att samtliga amerikanska mottagare innehar ett certifikat under DPF.

Varje verksamhet bör upprätta en intern rutin om regelbundna och löpande kontroller avseende giltigheten av amerikanska organisationers certifikat under DPF.

Varje verksamhet bör se över och justera sin integritetspolicy för att ta höjd för de nya förändringarna som DPF innebär för tredjelandsöverföringar.

Varje verksamhet bör se över och justera sina personuppgiftsbehandlingsregister för att dessa ska reflektera den nya överföringsmekanismen som DPF innebär.

Exempelvis kan Advokatfirman MarLaw mot arvode bistå med översyn och nödvändiga uppdateringar av integritetspolicys vid behov.