Nytt ramverk för laglig överföring av personuppgifter till USA

I mitten av juli antogs ”EU-US Privacy Shield” av EU-kommissionen. Det innebär att det finns ett nytt ramverk på plats för att lagligt kunna överföra personuppgifter från EU/EES till certifierade företag i USA, t.ex. inom ramen för molntjänster och andra IT-tjänster, sedan det tidigare ramverket Safe Harbor ogiltigförklarades i höstas. Från och med den med 1 augusti 2016 kan amerikanska företag anmäla sig för certifiering. Vad innebär egentligen det nya ramverket och vad betyder det för svenska företag?

Vad innebär EU-US Privacy Shield?

Kortfattat innebär det nya ramverket följande:

  • Amerikanska företag måste följa striktare regler för behandling av personuppgifter för att bli certifierade. Företag självcertifieras och upptas på en förteckning (Privacy Shield List) på motsvarande vis som i Safe Harbor-regelverket, men självcertifieringen ska ske årligen och det amerikanska handelsdepartements verifiering och tillsyn av certifieringen skärps och sanktionsmöjligheterna, om reglerna inte efterlevs, utökas.
  • Begränsning av amerikanska myndigheters tillgång till personuppgifter säkerställs genom en bindande försäkring som USA gett EU om att amerikanska myndigheters tillgång till uppgifter för brottsbekämpning och nationell säkerhet är underställd tydliga begränsningar, skyddsåtgärder och översyn.
  • Det blir lättare att få upprättelse för den enskilde genom att ramverket introducerar tvistlösningsmekanismer och klagomålsmöjligheter för den vars personuppgifter överförs från EU till USA.

Vad bör man göra nu?

Svenska företag som avser överföra personuppgifter till USA kan stödja sig på det nya ramverket för att tillse att själva överföringen av personuppgifter till USA är laglig. Det svenska företaget måste i så fall kontrollera att det amerikanska företaget kan efterleva de skärpta reglerna och att det upprätthåller sin certifiering. Amerikanska företag som har åtkomst till personuppgifter från EU, och som vill underlätta för företag inom EU att föra över personuppgifter, bör omgående se över sin efterlevnad av de nya reglerna, och vid behov uppdatera sin integritetspolicy och sin personuppgiftsbehandling, där så krävs för certifieringen. Det är oklart hur lång handläggningstiden kan förväntas bli för handelsdepartementets verifiering av företags certifiering. Det är viktigt för svenska företag att följa upp statusen för certifieringsansökan så att det amerikanska företaget är upptaget på Privacy Shield List innan överföring av personuppgifter påbörjas.

Det är positivt att ett nytt regelverk har kommit på plats som åter möjliggör lagliga överföringar till USA baserat på certifiering, i tillägg till den möjlighet som finns att säkra adekvat skyddsnivå genom ett dataöverföringsavtal som inkluderar EU-kommissionens modellklausuler. Det återstår att se hur EU-US Privacy Shield kommer att mottas och i vilken utsträckning det kommer att implementeras, men eftersom dataöverföring mellan EU och USA är av stor kommersiell vikt för många företag är det sannolikt att många företag i USA kommer att ansöka om certifiering.

Cederquists grupp för IT-rätt finns tillgänglig för frågor om EU-US Privacy Shield och andra frågor rörande personuppgifter och integritetsskydd.

 

Bakgrunden till EU-US Privacy Shield
Personuppgifter får endast överföras till tredje land (länder utanför EU/EES) om en adekvat skyddsnivå för personuppgifterna säkrats, enligt de regler som gäller inom EU. För att uppnå adekvat skyddsnivå för personuppgifter överförda till USA fanns tidigare det så kallade "Safe-Harbor"-ramverket där enskilda amerikanska bolag, genom att certifiera sig hos det amerikanska handelsdepartementet, åtog sig att behandla personuppgifter i enlighet med de principer som gäller inom EU. Safe Harbor ogiltigförklarades genom en dom i EU-domstolen i oktober 2015. EU-domstolen ansåg att EU-kommissionens beslut att godkänna Safe Harbor som laglig grund för överföring av personuppgifter inte var baserat på en ordentlig prövning av om personuppgifter verkligen har adekvat skydd i USA. Detta bland annat mot bakgrund av amerikanska myndigheters vida möjligheter att få tillgång till de personuppgifter som företag i USA behandlar.

Sedan Safe Harbor ogiltigförklarades har EU och USA arbetat intensivt med att ta fram ett nytt regelverk som hanterar de brister som EU-domstolen uppmärksammade, och som därmed säkrar att personuppgifter som överförs till USA bedöms ha en adekvat skyddsnivå. Det nya ramverket, EU-US Privacy Shield, antogs av EU-kommissionen den 12 juli 2016. I anslutning till antagandet av det nya ramverket fattade EU-kommissionen även ett beslut, med omedelbar verkan, om att USA uppfyller en adekvat skyddsnivå vid överföringar av personuppgifter till organisationer som är upptagna i den så kallade "Privacy Shield List". Det nya ramverket ska offentliggöras i det amerikanska Federal Register och från och med 1 augusti 2016 kan amerikanska företag anmäla sig för certifiering.

Ring
Meny