EU-kommissionen beslut om adekvat skyddsnivå för USA en vecka efter IMY:s beslut om användning av Google Analytics
Under sommaren har det kommit två beslut på GDPR-området som låtit vänta på sig.
Först, den 3 juli, publicerade Integritetsskyddsmyndigheten (IMY) sina beslut avseende fyra stora svenska bolags användning av statistik- och analysverktyget Google Analytics. IMY fann att de personuppgifter som samlas in via verktyget överförs till USA utan tillräckliga skyddsåtgärder, vilket står i strid med reglerna om tredjelandsöverföringar i GDPR. Förutom frågan om tredjelandsöverföringar innehåller besluten IMY:s inställning i andra intressanta frågor, till exempel vilka så kallade ”nätidentifierare” som utgör personuppgifter och effekten av anonymisering av IP-adresser genom trunkering. Ett av de granskade bolagen hade på eget initiativ upphört att använda verktyget, men övriga tre granskade bolag förelades av IMY att upphöra med användningen. Två av de granskade bolagen påfördes dessutom sanktionsavgifter på 12 miljoner kronor respektive 300 000 kronor. Avgörande i bedömningen av om en sanktionsavgift utdömdes eller inte var i vilken mån bolaget hade gjort en analys och kartläggning av överföringen samt hur omfattande skyddsåtgärder som hade vidtagits.
Bara en vecka senare, den 10 juli, antog EU-kommissionen ett adekvansbeslut som ska möjliggöra säker överföring av personuppgifter från EU till just USA. Detta innebär att överföringar till organisationer i USA som certifierat sig under “EU-U.S. Data Privacy Framework” (DPF) kan genomföras utan behov av ytterligare skyddsåtgärder för att överföringen ska vara laglig enligt reglerna om tredjelandsöverföringar i GDPR. Bolag som har kvar sin certifiering under det tidigare ramverket Privacy Shield behöver inte certifiera sig på nytt utan kan börja förlita sig på DPF direkt. Dessa bolag behöver dock senast den 10 oktober 2023 se till att efterleva principerna under DPF. Eftersom dessa principer i stort följer principerna under Privacy Shield så handlar det framför allt om att uppdatera bolagens integritetspolicys med en hänvisning till åtagandet att efterleva DPF. U.S. Departement of Commerce har lanserat en hemsida för DPF (här) med en sökfunktion för att hitta amerikanska bolag som är certifierade.
Det är sannolikt att DPF, liksom tidigare ramverk, blir föremål för prövning i EU-domstolen efter initiativ från intresseorganisationen None of Your Business (NOYB). Det återstår därför att se om DPF håller för denna prövning eller om det, liksom sina föregångare, ogiltigförklaras av EU-domstolen.
Hör gärna av er till Cederquist om ni har frågor om hur adekvansbeslutet kan komma att påverka den personuppgiftsbehandling som sker i er verksamhet eller om ni har några andra dataskyddsrelaterade frågor.
