meny

Hur vet vi om ett tredje land har adekvat skyddsnivå?

EU-kommissionen kan fatta beslut om att ett land har en tillräckligt hög skyddsnivå och ni får då föra över personuppgifter dit utan något särskilt tillstånd. I dataskyddsförordningen kallas det för adekvat skyddsnivå. Det kan även gälla ett visst territorium, en internationell organisation eller en eller flera sektorer i ett tredje land.

När EU-kommissionen fattar beslut om adekvat skyddsnivå tittar de bland annat på landets lagar och internationella åtaganden, vilka möjligheter den registrerade har att få rättslig prövning och om landet respekterar de mänskliga rättigheterna och de grundläggande friheterna. EU-kommissionen kontrollerar också att det finns oberoende tillsynsmyndigheter som ansvarar för att dataskyddsreglerna följs och som kan hjälpa de registrerade.

Obs! Till skillnad från i personuppgiftslagen finns det inte längre utrymme för den personuppgiftsansvarige att själv avgöra om det finns en adekvat skyddsnivå eller inte. Det är bara EU-kommissionen som kan fatta ett sådant beslut.

Länder med adekvat skyddsnivå

EU-kommissionen har fattat beslut om att skyddsnivån i dessa länder är adekvat, det vill säga tillräckligt hög enligt dataskyddsförordningen:

  • Andorra
  • Argentina
  • Bailiwick of Guernsey
  • Färöarna
  • Isle of Man
  • Israel
  • Japan
  • Jersey
  • Nya Zeeland
  • Schweiz
  • Uruguay

Dessutom har EU-kommissionen bedömt att skyddsnivån är adekvat på vissa områden eller under särskilda villkor i följande länder:

  • Kanada, om deras lagstiftning för skydd av personuppgifter i privat sektor är tillämplig på mottagarens personuppgiftsbehandling.

Privacy shield är ogiltigförklarat och kan inte längre användas för att garantera skyddsnivån i USA

Uppdatering juli 2020 – Privacy Shield ogiltigförklarat

EU-domstolen har nyligen slagit fast att Privacy Shield-avtalet mellan EU och USA inte ger ett tillräckligt skydd för personuppgifter när dessa förs över till USA. Ogiltigförklarandet av Privacy Shield innebär att det inte längre är tillåtet för personuppgiftsansvariga i EU att med Privacy Shield som grund överföra personuppgifter till mottagare i USA.

Europeiska dataskyddsstyrelsen (EDPB) prioriterar för närvarande att ge vägledning i denna fråga och har publicerat följande uttalande.

Privacy Shield är en mekanism för självcertifiering som finns i USA. Det innebär att företag i USA kan anmäla sig till det amerikanska handelsdepartementet (Department of Commerce) och meddela att de uppfyller de krav som ställs i Privacy Shield. Enligt ett beslut från EU-kommissionen har det varit tillåtet för personuppgiftsansvariga i EU att överföra personuppgifter till mottagare som har anslutit sig till Privacy Shield. Sedan juli 2020 är dock Privacy Shield ogiltigförklarat och kan inte längre användas.

En begäran under US CLOUD Act om utlämnade av personuppgifter till amerikansk myndighet

EDPB och EDPS har i ett svar till EU-parlamentet analyserat vilka möjligheter en personuppgiftsansvarig har att följa en begäran om utlämnande av personuppgifter till amerikansk, brottsbekämpande myndighet under US CLOUD Act.

GDPR ställer särskilda krav på adekvat skyddsnivå vid överföring till tredje land. Privacy Shield är en vanlig skyddsåtgärd som används vid överföring till USA. Endast företag kan ansluta sig till Privacy Shield. US CLOUD Act är en ensidigt stiftad nationell lag i USA och eftersom Privacy Shield inte kan användas som skyddsåtgärd ser EDPB mycket begränsade möjligheter för en personuppgiftsansvarig i EU att följa en direktbegäran från amerikansk myndighet.

Du kan läsa hela analysen hos EDPB: