Privacy Shield och Safe Harbor

Överföringar av personuppgifter till USA

Sedan oktober 2015 kan personuppgifter inte längre föras över till USA med stöd av Safe Harbor-principerna. Detta som en följd av EU-domstolens dom där man ogiltigförklarade EU-kommissionens tidigare beslut om att dessa principer ska anses tillhandahålla en adekvat skyddsnivå i USA.

Den 12 juli 2016 fattade EU-kommissionen ett nytt beslut om adekvat skyddsnivå för vissa mottagare av personuppgifter i USA, nämligen sådana som omfattas av det så kallade Privacy Shield.

Privacy Shield

Privacy Shield är en ny överenskommelse om skydd för personuppgifter mellan EU och USA och innefattar dels ett antal särskilda principer om hur personuppgifter ska hanteras, dels olika slags översynsmekanismer för att se till att principerna följs. Företag i USA som vill ansluta sig till Privacy Shield ska anmäla till det amerikanska handelsministeriet att de följer principerna och handelsministeriet ska upprätta och tillhandahålla en lista över dessa företag. Endast företag som finns med på handelsministeriets lista omfattas av EU-kommissionens beslut om adekvat skyddsnivå.

Länk till EU-kommissionens nyhetstext om antagande av Privacy Shield

Länk till EU-kommissionens pressmeddelandemeddelanden om antagande av Privacy Shield

Länk till EU-kommissionens beslut + bilagor

Länk till amerikanska handelsministeriets sida om Privacy Shield

Den så kallade Artikel 29-gruppen, vilken består av medlemmar från EU-ländernas olika dataskyddsmyndigheter, har yttrat sig under förhandlingarna om Privacy Shield och begärt närmare förklaringar på olika punkter. Även om flera av dessa frågor har besvarats anser gruppen att det fortfarande finns frågor kvar att besvara. Det handlar om såväl frågor kring dataskyddsprinciperna i sig som frågor kring de översynsmekanismer som ska inrättas. En viktig del i överenskommelsen är därför den översyn och utvärdering som ska göras efter ett år och där representanter för EU-ländernas dataskyddsmyndigheter ska delta. Artikel 29-gruppens senaste yttrande finns att läsa här:

Länk till 29-gruppens yttrande från juli 2016

Vad händer nu?

EU-kommissionens beslut börjar gälla direkt och företag i USA kan sedan den 1 augusti anmäla till det amerikanska handelsministeriet att de följer reglerna i Privacy Shield-överenskommelsen. När ett företag har tagits upp på handelsministeriets Privacy Shield-lista ska företaget anses ha en adekvat skyddsnivå och det är tillåtet att föra över personuppgifter dit från avsändare i EU-länderna.

I Sverige regleras detta genom personuppgiftslagen som tillåter att uppgifter förs över i de fall det finns en adekvat skyddsnivå. I personuppgiftsförordningen finns en förteckning över länder som EU-kommissionen i särskilda beslut ansett ha en adekvat skyddsnivå. Beslutet om Privacy Shield kommer att tas med i denna förteckning.

Hur kan enskilda utöva sina rättigheter under Privacy Shield?

Privacy Shield innehåller bland annat en rätt för enskilda personer att begära information från amerikanska företag om vilka uppgifter som behandlas om personen ifråga, för vilka syften och av vem. Privacy Shield innehåller också en rätt att ge in klagomål till USA:s Federal Trade Commission eller till någon av EU-ländernas dataskyddsmyndigheter om man anser att personuppgifter behandlas felaktigt. EU-kommissionen har i samråd med Artikel 29-gruppen tagit fram en vägledning som beskriver hur enskilda ska kunna utöva sina rättigheter. Vägledningen (Guide to the EU-U.S. Privacy Shield) finns att läsa här:

Länk till kommissionens guide

Överföring av personuppgifter till USA vid sidan av Privacy Shield

EU-kommissionens beslut om standardavtalsklausuler och möjligheterna att upprätta så kallade Binding Corporate Rules (BCR) gäller fortfarande. Även dessa instrument kan dock komma att utvärderas i framtiden. Artikel 29-gruppen har uttalat att resultaten av den analys av Privacy Shield som ska göras efter ett år också kan komma att få effekter för överföringar som sker med stöd av BCR och standardavtalsklausuler.

Länk till EU-kommissionens sida om standardavtalsklausuler

Länk till EU-kommissionens sida om Binding Corporate Rules

Mer information

EU-kommissionens meddelande från november 2015 om överföringar från EU till USA

SKL:s rekommendationer gällande Safe Harbor

EU-kommissionens meddelande om Privacy Shield-överenskommelse från februari 2016

Artikel 29-gruppens meddelande från oktober 2015 (efter EU-domstolens dom om Safe Harbor)

Artikel 29-gruppens meddelande från april 2016 (efter Privacy Shield-överenskommelse)

Artikel 29-gruppens meddelande från juli 2016 (efter beslut om adekvat skyddsnivå för Privacy Shield)

Vad är Binding Corporate Rules (BCR)?

Vad är Standardavtalsklausuler

Mer information

Läs Artikel 29-gruppens pressmeddelande på engelska (pdf-format)

Vad är Binding Corporate Rules?

Vad är Safe Harbor-principerna?

Den 6 november 2015 publicerade EU-kommissionen ett meddelande om överföringar av personuppgifter till USA, med anledning av EU-domstolens dom angående Safe Harbor-principerna.

Läs kommissionens meddelande

SKL, Sveriges kommuner och landsting, har publicerat rekommendationer till sina medlemmar om hur de bör agera med hänsyn till Safe Harbor-domen. Rekommendationerna har även bäring på andra typer av organisationer.

Läs SKL:s rekommendationer