Den 10 juli 2023 meddelade EU-kommissionen ett nytt beslut om adekvat skyddsnivå för överföring av personuppgifter baserat på det transatlantiska ramverket EU-US Data Privacy Framework (”DPF”) som har ingåtts mellan EU och USA. Beslutet innebär att USA numera anses erbjuda ett skydd likvärdigt det som ges inom EU avseende de registrerade och deras personuppgifter. I praktiken innebär detta att bolag och organisationer inom EU numera får överföra personuppgifter till amerikanska bolag och organisationer som har anslutit sig till och blivit certifierade under DPF utan att exempelvis behöva förlita sig på EU-kommissionens standardavtalsklausuler i kombination med kompletterande skyddsåtgärder. Certifikatet under DPF innebär att den anslutna organisationen har åtagit sig att följa de riktlinjer som återfinns i DPF, och ramverket i sig kommer att administreras och överses av den amerikanska myndigheten US Department of Commerce.
De åtgärder som USA har vidtagit för att erbjuda ett tillräckligt skydd för de registrerade är bland annat att amerikanska underrättelsetjänsters möjlighet att begära åtkomst till EU-medborgares personuppgifter numera är begränsad till vad som är nödvändigt och proportionerligt för att skydda den nationella säkerheten, samt att det har inrättats en självständig domstol (Data Protection Review Court) dit den registrerade kan klaga om denne har fått sina personuppgifter utlämnande till en amerikansk underrättelsemyndighet.
Det åligger fortfarande ett ansvar hos organisationen inom EU som överför personuppgifterna att säkerställa att den mottagande organisationen i USA faktiskt innehar ett certifikat under DPF.
Ni hittar certifierade organisationer här: https://www.dataprivacyframework.gov/s/participant-search. Om den mottagande amerikanska organisationen är med i listan och har ett certifikat under DPF, får tredjelandsöverföringen ske utan några ytterligare eller kompletterande skyddsåtgärder.
EU-kommissionens adekvansbeslut med anledning av DPF ska revideras regelbundet av EU-kommissionen tillsammans med bland annat företrädare från europeiska dataskyddsmyndigheter och relevanta amerikanska myndigheter. Den första utvärderingen av beslutet ska ske ett år efter dess ikraftträdande i syfte att säkerställa att de åtgärder som angetts i ramverket har implementerats och fungerar effektivt i praktiken.
Även intresseorganisationen none of your business (”NOYB”) som var drivande i ogiltighetsförklaringarna av de tidigare transatlantiska ramverken mellan EU och USA – Safe Harbor-avtalet och Privacy Shield-avtalet – har kritiserat DPF och har publikt gått ut med att de vid behov återigen kommer att utmana EU-kommissionens adekvansbeslut.
Vilka åtgärder behöver svenska verksamheter vidta?
EU-kommissionens adekvansbeslut med anledning av DPF föranleder flera förändrade krav på svenska bolag och organisationer. Jag rekommenderar därför en översyn av verksamhetens dokumentation och policys.
Följande åtgärder betraktar vi som prioriterade:
- Varje verksamhet bör kartlägga vilka amerikanska organisationer som mottar personuppgifter genom tredjelandsöverföringar, samt kontrollera och säkerställa att samtliga amerikanska mottagare innehar ett certifikat under DPF.
- Varje verksamhet bör upprätta en intern rutin om regelbundna och löpande kontroller avseende giltigheten av amerikanska organisationers certifikat under DPF.
- Varje verksamhet bör se över och justera deras integritetspolicy för att ta höjd för de nya förändringarna som DPF innebär för tredjelandsöverföringar.
- Varje verksamhet bör se över och justera deras personuppgiftsbehandlingsregister för att detta ska reflektera den nya överföringsmekanismen som DPF innebär.
Vad gäller om vi vill använda en ny kommunikationstjänst?
Data Privacy Framework innebär att det nu är tillåtet att använda amerikanska verktyg och tjänster som tillhandahålls av företag som anslutit sig till ramverket utifrån grunden att det är en tillåten personuppgiftsöverföring till USA. Tänk dock på att det finns fler krav och principer i GDPR att ta hänsyn till för att en verksamhet ska uppfylla sin ansvarsskyldighet.
Oavsett vilken leverantör eller tjänst som ni vill använda, som innebär att personuppgiftsbehandling sker, måste ni göra en utvärdering enligt GDPR och säkerställa att ni följer principerna och grunderna i GDPR, det brukar kallas att göra en konsekvensbedömning. Detta är ett krav för att verksamheten ska uppfylla sin ansvars- och dokumentationsskyldighet enligt GDPR. En dokumenterad bedömning ska kunna visas upp om IMY gör en tillsyn. Nyttjandet av tjänster och verktyg som behandlar personuppgifter ska därmed vara genomtänkta och dokumenterade.
Katarina Ladenfors, Advokat & Partner – Marlaw