Privacy Shield och Safe Harbor

Överföringar av personuppgifter till USA

Den 12 juli 2016 fattade EU-kommissionen ett beslut om adekvat skyddsnivå för vissa mottagare av personuppgifter i USA, nämligen sådana som omfattas av det så kallade Privacy Shield. Beslutet innebär att det är tillåtet att föra över personuppgifter till sådana mottagare i USA som anslutit sig till Privacy Shield. Tidigare gällde ett beslut om adekvat skyddsnivå i USA för de så kallade Safe Harbor-principerna men detta ogiltigförklarades av EU-domstolen i oktober 2015.

Privacy Shield

Privacy ShieldPrivacy Shield är en överenskommelse om skydd för personuppgifter mellan EU och USA som träffades 2016. Överenskommelsen innefattar dels ett antal särskilda principer om hur personuppgifter som förs över från EU till USA ska hanteras, dels olika slags översynsmekanismer för att se till att principerna följs. Företag i USA som vill ansluta sig till Privacy Shield ska anmäla till det amerikanska handelsministeriet att de följer principerna och handelsministeriet ska upprätta och tillhandahålla en lista över dessa företag. Endast företag som finns med på handelsministeriets lista omfattas av EU-kommissionens beslut om adekvat skyddsnivå.

EU-kommissionens nyhetstext om antagande av Privacy Shield
EU-kommissionens pressmeddelande om antagande av Privacy Shield
EU-kommissionens beslut + bilagor
Amerikanska handelsministeriets sida om Privacy Shield

Den så kallade Artikel 29-gruppen, vilken består av medlemmar från EU-ländernas olika dataskyddsmyndigheter, har yttrat sig under förhandlingarna om Privacy Shield och begärt närmare förklaringar på olika punkter. Det handlar både om frågor kring dataskyddsprinciperna i sig och frågor kring de översynsmekanismer som ska inrättas. En viktig del i överenskommelsen är den översyn och utvärdering som ska göras under hösten 2017 och där representanter för EU-ländernas dataskyddsmyndigheter ska delta. Läs mer om Artikel 29-gruppens yttrande och om översynen här:

Länk till 29-gruppens yttrande från juli 2016
Artikel 29-gruppens pressmeddelande om översynen av Privacy Shield 2017

Sedan när gäller beslutet om Privacy Shield?

EU-kommissionens beslut gäller sedan den 1 augusti 2016 och företag i USA kan sedan dess anmäla till det amerikanska handelsministeriet att de följer reglerna i Privacy Shield-överenskommelsen. När ett företag har tagits upp på handelsministeriets Privacy Shield-lista anses företaget ha en adekvat skyddsnivå och det är tillåtet att föra över personuppgifter dit från avsändare i EU-länderna.

I Sverige regleras detta genom personuppgiftslagen som tillåter att uppgifter förs över i de fall det finns en adekvat skyddsnivå. I personuppgiftsförordningen finns en förteckning över länder som EU-kommissionen i särskilda beslut ansett ha en sådan skyddsnivå. Beslutet om Privacy Shield finns med i denna förteckning.

Hur kan enskilda utöva sina rättigheter under Privacy Shield?

Privacy Shield innehåller bland annat en rätt för enskilda personer att begära information från amerikanska företag om vilka uppgifter som behandlas om personen ifråga, för vilka syften och av vem. Privacy Shield innehåller också en rätt att ge in klagomål till USA:s Federal Trade Commission eller till någon av EU-ländernas dataskyddsmyndigheter om man anser att personuppgifter behandlas felaktigt. EU-kommissionen har i samråd med Artikel 29-gruppen tagit fram en vägledning, Guide to the EU-U.S. Privacy Shield, som beskriver hur enskilda ska kunna utöva sina rättigheter.

Kommissionens vägledning Guide to the EU-U.S. Privacy Shield

Den som anser att personuppgifter felaktigt har förts över från EU till USA under Privacy Shield kan vända sig till en dataskyddsmyndighet i någon av EU-länderna som sedan kan komma att vidarebefordra klagomålet till någon av de mekanismer som anges i överenskommelsen. Artikel 29-gruppen har tagit fram två formulär som kan användas.

Formulär för klagomål som rör överföring av personuppgifter till ett företag i USA under Privacy Shield
Formulär för klagomål till den amerikanska Ombudspersonen under Privacy Shield

Överföring av personuppgifter till USA vid sidan av Privacy Shield

EU-kommissionens beslut om standardavtalsklausuler och möjligheterna att upprätta så kallade Binding Corporate Rules (BCR) gäller fortfarande. Även dessa instrument kan dock komma att utvärderas i framtiden. Artikel 29-gruppen har uttalat att resultaten av den analys av Privacy Shield som ska göras efter ett år också kan komma att få effekter för överföringar som sker med stöd av BCR och standardavtalsklausuler.

Länk till EU-kommissionens sida om standardavtalsklausuler

Länk till EU-kommissionens sida om Binding Corporate Rules

Mer information

EU-kommissionens meddelande från november 2015 om överföringar från EU till USA

SKL:s rekommendationer gällande Safe Harbor

EU-kommissionens meddelande om Privacy Shield-överenskommelse från februari 2016

Artikel 29-gruppens meddelande från oktober 2015 (efter EU-domstolens dom om Safe Harbor)

Artikel 29-gruppens meddelande från april 2016 (efter Privacy Shield-överenskommelse)

Artikel 29-gruppens meddelande från juli 2016 (efter beslut om adekvat skyddsnivå för Privacy Shield)

Vad är Binding Corporate Rules (BCR)?

Vad är Standardavtalsklausuler

Mer information

Läs Artikel 29-gruppens pressmeddelande på engelska (pdf-format)

Vad är Binding Corporate Rules?

SKL, Sveriges kommuner och landsting, har publicerat rekommendationer till sina medlemmar om hur de bör agera med hänsyn till Safe Harbor-domen. Rekommendationerna har även bäring på andra typer av organisationer.

Läs SKL:s rekommendationer