Överföringar till USA

Beslutet är ett resultat av de förhandlingar med USA som följde efter att EU-domstolen, sommaren 2020, ogiltigförklarade föregångaren Privacy Shield med tillhörande adekvansbeslut i den så kallade Schrems II-domen. EU-domstolen slog då fast att Privacy Shield-avtalet mellan EU och USA inte gav ett tillräckligt skydd för personuppgifter som överfördes dit. Domen innebar att Privacy Shield inte längre kunde användas som stöd för överföringar till USA.

Genom det nya EU-U.S. Data Privacy Framework har USA infört åtgärder för att läka de brister som EU-domstolen fann i Schrems II-domen, bland annat genom att begränsa amerikansk underrättelsetjänsts tillgång till personuppgifter och genom att etablera en ny mekanism som gör det möjligt för EU-medborgare att söka rättelse.

Vad innebär EU-kommissionens beslut om adekvat skyddsnivå för USA?

Beslutet innebär att EU-kommissionen har bedömt att USA säkerställer en tillräckligt hög skyddsnivå och att det därmed är tillåtet att överföra personuppgifter till USA, utan att vidta lämpliga skyddsåtgärder enligt artikel 46 i dataskyddsförordningen (till exempel standardavtalsklausuler eller bindande företagsbestämmelser), förutsatt att den mottagande organisationen omfattas av EU-U.S. Data Privacy Framework.

Behöver ytterligare skyddsåtgärder vidtas om överföringen till USA sker med stöd av adekvansbeslutet?

En överföring som sker med stöd av ett beslut om adekvat skyddsnivå behöver inte kompletteras av så kallade ytterligare skyddsåtgärder (enligt Schrems II-domen och EDPB:s rekommendationer 01/2020). Den typen av skyddsåtgärder tar nämligen sikte på att komplettera överföringsverktygen i artikel 46 i dataskyddsförordningen, till exempel standardavtalsklausuler, när skyddet som ska garanteras genom de verktygen inte kan upprätthållas i praktiken (exempelvis för att myndigheter i tredjeland har alltför långtgående möjligheter att komma åt information). När ett beslut om adekvat skyddsnivå finns på plats, som i fallet USA, har EU-kommissionen redan gjort en helhetsbedömning av amerikanska lagar, internationella åtaganden, registrerades möjligheter att få rättslig prövning, innehållet i ramverket osv. med slutsatsen att skyddsnivån sammantaget är tillräcklig, om mottagaren omfattas av EU-U.S. Data Privacy Framework.

Kan personuppgifter överföras till USA om mottagaren inte omfattas av EU-U.S. Data Privacy Framework?

Om den mottagande organisationen inte omfattas av EU-U.S. Data Privacy Framework kan överföringen inte ske med stöd av EU-kommissionens beslut om adekvat skyddsnivå för USA.

Däremot kan det vara tillåtet att överföra personuppgifter till USA genom att vidta lämpliga skyddsåtgärder enligt artikel 46 i dataskyddsförordningen, såsom standardavtalsklausuler eller bindande företagsbestämmelser. I sådana fall behöver man även göra en bedömning av om aktuellt överföringsverktyg är effektivt i praktiken, eller om det behöver kompletteras av ytterligare skyddsåtgärder (enligt Schrems II-domen och EDPB:s rekommendationer 01/2020). Här kan EU-kommissionens bedömning i adekvansbeslutet beaktas. De skyddsåtgärder som USA vidtagit för att läka de brister som EU-domstolen pekade på i Schrems II-domen – kopplat till amerikanska myndigheters åtkomst till uppgifter och rätten till effektiva rättsmedel för registrerade – gäller nämligen all överföring till företag i USA, oavsett vilket överföringsverktyg som används.