Bli kund Annonsera
tisdag 26 september 2023
Mitt i juridiken
Mitt i juridiken
Läs direkt!
Publicerad: 17 augusti 2023,

Lättare att föra över personuppgifter till USA efter nytt adekvansbeslut

Den 10 juli 2023 antog EU-kommissionen ett beslut om adekvat skyddsnivå för USA (”EU-US Privacy Framework”). Beslutet innebär att personuppgifter kan flöda fritt från EU till amerikanska företag som har certifierat sig enligt beslutet, utan att ytterligare skyddsåtgärder är nödvändiga. Om detta skriver Wistrands Advokatbyrå i en ny praktikerartikel.

VERKTYG

»
Tipsa en vän

Enligt GDPR är överföringar av personuppgifter till mottagare utanför EU/EES, som huvudregel, förbjudna och får enbart genomföras om något av undantagen som uppställs i GDPR är uppfyllda (artikel 49 GDPR). Exempel på sådana undantag är om EU-kommissionen fattat beslut om adekvat skyddsnivå för mottagarlandet eller om lämpliga skyddsåtgärder, som exempelvis standardavtalsklausuler[1], vidtagits (artikel 45 och 46 GDPR).

Under årens lopp har flera överenskommelser träffats mellan EU och USA för att underlätta transatlantiska överföringar av personuppgifter. Det så kallade Safe Harbour-beslutet[2] tillkom under 2000 och möjliggjorde överföringar till organisationer i USA som hade åtagit sig följa beslutets principer avseende dataskydd. Beslutet ogiltigförklarades dock av EU-domstolen under 2015 genom Schrems I-målet.[3]

Under 2016 träffades ytterligare en överenskommelse mellan EU och USA, det så kallade Privacy Shield-beslutet[4]. Likt Safe Harbour innebar Privacy Shield att amerikanska organisationer, genom självcertifiering, kunde intyga att de uppfyllde särskilda krav avseende dataskydd. Sådan certifiering utgjorde giltig grund för överföring till USA då uppgifterna ansågs garanteras en adekvat skyddsnivå.

Under 2020 ogiltigförklarades dock även Privacy Shield-beslutet av EU-domstolen genom det mycket uppmärksammade Schrems II-målet[5], och en hel värld sattes i gungning.

Livet efter Schrems II

Schrems II-målet försvårade EU-baserade bolags användning av amerikanska tjänsteleverantörer i betydande utsträckning, vilket föranledde stor frustration hos organisationer.

Utöver att Privacy Shield ogiltigförklarades fastslog även EU-domstolen att aktörer som överför personuppgifter utanför EU/EES inte per automatik kan utgå från att användningen av standardavtalsklausuler ensamt tillförsäkrar personuppgifterna ett fullgott skydd i mottagarlandet. Krav uppställdes därför på att en bedömning i varje enskilt fall skulle göras, innan överföringen genomförs, för att utröna behovet av ytterligare skyddsåtgärder (en så kallad Transfer Impact Assessment).

Under tiden har dataskyddsmyndigheter runt om i Europa hunnit meddela flera tillsynsbeslut avseende olagliga överföringar till USA[6]. Så sent som i juli 2023 meddelade Integritetsskyddsmyndigheten (”IMY”) tillsynsbeslut mot fyra svenska bolag med anledning av deras användning av Google Analytics, i vilka det fastslogs att personuppgifter hade överförts till USA utan adekvata skyddsåtgärder.[7]

När en principiell överenskommelse mellan EU och USA för att underlätta transatlantiska överföringar offentliggjordes den 25 mars 2022, skymtades dock ljuset i slutet av tunneln. En tid därefter, den 13 december 2022, publicerade EU-kommissionen ett utkast till nytt beslut om adekvat skyddsnivå. Efter en tids väntan och ingående granskningar av flertalet EU-organ antogs ett slutligt beslut den 10 juli 2023, benämnt EU-US Data Privacy Framework[8].

EU-US Data Privacy Framework

EU-US Data Privacy Framework innebär att amerikanska organisationer, genom att åta sig följa ett antal dataskyddsskyldigheter, kan ansluta sig till ramverket genom självcertifiering. Vid anslutning anses en adekvat skyddsnivå tillförsäkras de personuppgifter som är föremål för överföring till sådana organisationer. Därav behöver varken ytterligare skyddsåtgärder vidtas eller en Transfer Impact Assessment genomföras.

De skyldigheter som följer av ramverket syftar huvudsakligen till att åtgärda de brister i amerikansk rätt som uppmärksammats av EU-domstolen i Schrems II-målet. Exempelvis uppställs krav på att personuppgifter ska raderas när dessa inte längre är nödvändiga för att uppnå de ändamål för vilka de samlades in, samt krav på att säkerställa fortsatt skydd för personuppgifter när dessa delas med tredje part.

Vidare tillförsäkras de personer i EU vars personuppgifter behandlas, möjlighet till rättslig prövning om de anser att personuppgifterna hanterats felaktigt. Detta bland annat genom kostnadsfria mekanismer för oberoende tvistlösning. Även amerikanska myndigheters tillgång till personuppgifter begränsas till vad som är nödvändigt och proportionerligt för att skydda den nationella säkerheten.

Vad händer nu?

EU-US Data Privacy Framework började gälla samma dag som det antogs, den 10 juli 2023. Ett register över de organisationer som har anslutit sig till ramverket finns tillgängligt på en av USA:s handelsdepartement (U.S. Department of Commerce) särskilt upprättad hemsida.

Vidare har USA:s handelsdepartement bekräftat att organisationer som tidigare certifierat sig under Privacy Shield, inte åter behöver certifiera sig enligt EU-US Data Privacy Framework, under förutsättning att de följer ramverkets principer. De måste även uppdatera sina integritetspolicies inom 3 månader från ramverkets antagande, så att hänvisning görs till åtagandet att efterleva EU-US Data Privacy Framework.

EU-kommissionen kommer att tillsammans med behöriga amerikanska myndigheter och europeiska dataskyddsmyndigheter regelbundet granska hur EU-US Data Privacy Framework fungerar i praktiken. Den första granskningen kommer genomföras inom ett år från det att ramverket trädde i kraft.

Viktigt att ha i åtanke är att EU-US Data Privacy Framework, likt tidigare överenskommelser, kan bli föremål för prövning och därmed ogiltigförklaras av EU-domstolen. Intresseorganisationen None of Your Business (”noyb”), som har tagit initiativ till de rättsprocesser där tidigare överenskommelser har ogiltigförklarats, har redan uttryckt att ramverket utgör en kopia av Privacy Shield och att det sannolikt kan komma att utmanas redan i slutet av 2023 eller början på 2024.[9] Kanske har vi därför att vänta ett Schrems III- mål inom kort.

Wistrand Advokatbyrå

[1] Kommissionens beslut 2021/915 av den 4 juni 2021 om standardavtalsklausuler mellan personuppgiftsansvariga och personuppgiftsbiträden enligt artikel 28.7 i Europaparlamentets och rådets förordning (EU) 2016/679 och artikel 29.7 i Europaparlamentets och rådets förordning (EU) 2018/1725.

[2] Kommissionens beslut 2000/520 av den 26 juli 2000 enligt Europaparlamentets och rådets direktiv 95/46/EG om huruvida ett adekvat skydd säkerställs genom de principer om integritetsskydd (Safe Harbor Privacy Principles) i kombination med frågor och svar som Förenta staternas handelsministerium utfärdat.

[3] EU-domstolens dom den 6 oktober 2015 i mål C-362/14, Data Protection Commissioner mot Facebook Ireland Limited och Maximillian Schrems.

[4] Kommissionens beslut 2016/1250 av den 12 juli 2016 enligt Europaparlamentets och rådets direktiv 95/46/EG om huruvida ett adekvat skydd säkerställs genom skölden för skydd av privatlivet i EU och Förenta staterna.

[5] EU-domstolens dom den 16 juli 2020 i mål C-311/18, Data Protection Commissioner mot Facebook Ireland Limited och Maximillian Schrems.

[6] Se exempelvis den österrikiska dataskyddsmyndighetens beslut samt den italienska dataskyddsmyndighetens beslut.

[7] IMY:s beslut den 30 juni i DI-2020-11397, DI-2020-11368, DI-2020-11370, samt DI-2020-11373.

[8] Commission decision of 10.7.2023 pursuant to Regulation (EU) 2016/679 of the European Parliament and of the Council on the adequate level of protection of personal data under the EU-US Data Privacy Framework.

[9] Se uttalande på noyb:s webbplats här.

STUDENTREPORTAGE

Meriter är mer än betyg

För fem år sedan, när jag precis hade börjat på juridikprogrammet, sa professorn att betyg inte spelar så stor roll längre. När jag fem år senare söker mitt första juristjobb spelar det istället ofta all roll. Det är en skev syn på vad meritokrati är.

EU-jurist går till Vinge

EU- och konkurrensrättsjuristen Per Hellström har anslutit till Vinge som expert.

PRAKTIKERARTIKEL

Nya upphandlingsregler

Den 15 september meddelade regeringen att man beslutat om ändringar i upphandlings-annonser i syfte att underlätta för mindre företag att delta i offentliga upphandlingar samt för att motverka oseriösa aktörer i upphandlingar. Om de nya reglerna skriver Hanna Trygg och Emelie Baniameri, Wistrand Advokatbyrå, i en ny praktikerartikel.

Foto Wavebreakmedia

Tre nya domare

Regeringen har den 21 september utnämnt tre nya domare.

Misstänks för grovt brott mot tystnadsplikt

En anställd på Attunda tingsrätt anhölls på onsdagen, misstänkt för att ha spridit sekretessbelagd information.

PRAKTIKERARTIKEL

Utdelningsbeskattning i fåmansföretag

I artikeln diskuteras två olika fall som prövats av förvaltningsdomstolarna under senare tid, som båda rört frågan om beskattningstidpunkten för utdelning från fåmansföretag.

Foto Andrey Popov

Ökade resurser till domstolarna

Domstolsverket välkomnar nu regeringens ökning av budgetmedel.

DOMARBLOGGEN

Om fiskalers utveckling

Vid Södertörns senaste utvecklingsinternat för domstolens fiskaler var temat olika strategier och metoder för att bli en bättre tingsfiskal.

Foto Wavebreakmedia

Stark arbetsmarknad för nya jurister

Årets arbetsmarknadsundersökning från fackförbundet Akavia visar på en stark arbetsmarknad för akademiker i allmänhet och jurister i synnerhet.

Foto Gamma-Man

HD prövar inte mål om grovt spioneri

Högsta domstolen har på tisdagen beslutat att inte meddela prövningstillstånd i målet där två bröder dömts för grovt spioneri och hovrättens dom står därmed fast.

Foto Natalie Oliwsson

Torsten och Ragnar Söderbergs professur i rättsvetenskap till Mauro Zamboni

Mauro Zamboni, professor i allmän rättslära vid Stockholms universitet, har utsetts till innehavare av Torsten Söderbergs professur i rättsvetenskap för perioden 2024–2027. Professuren kommer att ägnas åt forskning om lagstiftningsprocessen, med fokus på den fas där politiska intentioner omvandlas till konkreta lagtexter.

Elva nya domare

Regeringen har den 14 september utnämnt elva nya domare.

Foto Domstolsverket

Upphäver omdiskuterad lagändring

Den omdiskuterade lagändringen gällande utökad sekretess för målsäganden och vittnen ska upphävas. Det har riksdagen nu beslutat.

Foto Delphi

Nya delägare i Delphi

Advokatfirman Delphi har valt in Sandra Broneus och Karin Roberts som partners på byråns Stockholmskontor.

Vad är egentligen miljörätt?

I det senaste inlägget på Domarbloggen skriver domaren Joel Björk-Werner vid Södertörns tingsrätt om miljörätten och hur den har utvecklats till att bli ett eget juridiskt ämne.

Ny delägare i Vinge

Sam Seddigh, arbetsrättslig specialist, har anslutit som ny delägare vid Vinges Stockholmskontor.

Ökade möjligheter till internationellt advokatsamarbete

Efter att Advokatsamfundet reviderat sitt vägledande uttalande om internationellt samarbete, ökar nu möjligheterna till samarbeten med advokatbyråer i andra länder.

Åtal väckt om mord på 15-åring

Åklagaren har väckt åtal mot tio personer i ärendet om mord på en 15-åring i Skogås den 28 januari i år.

Om digitala bolagsstämmor

I anslutning till den tillfälliga stämmolagen, vilken möjliggjorde för bolag att hålla digitala bolagsstämmor helt utan fysiskt deltagande under pandemin, har regeringen nu lagt fram en proposition med avsikt att permanent tillåta digitala bolagsstämmor och om denna skriver nu Charles Arbro och Emelie Johannesson, Wistrand Advokatbyrå, i en ny praktikerartikel.

Jag vill ha daglig bevakning av juridiska
nyheter från InfoTorg Juridik.
 
E-post: 
 
 
 
OBS! Om du loggar in kan du lägga upp ett
personligt urval för ditt Nyhetsbrev.
 
Logga in och lägg upp ett Nyhetsbrev.




 
» Logga in automatiskt