Överföring av personuppgifter till USA, vad gäller?
Vilka regler gäller för överföring av personuppgifter till USA?
Det är bara tillåtet att överföra personuppgifter till ett land utanför EU/EES under vissa förutsättningar. Det är till exempel tillåtet att överföra personuppgifter till länder som EU-kommissionen har godkänt genom ett beslut om adekvat skyddsnivå.
Sedan 2023 finns ett beslut om adekvat skyddsnivå för USA. Beslutet är baserat på en överenskommelse mellan EU och USA om hur personuppgifter som överförs från EU- och EES-länderna ska skyddas i USA, det så kallade EU-U.S. Data Privacy Framework. Beslutet om adekvat skyddsnivå innebär att det är tillåtet att överföra personuppgifter till amerikanska verksamheter som har anslutit sig till ramverket och som därmed är listade här: Data Privacy Framework List.
I slutet av den här texten finns länkar till mer information om exempelvis beslut om adekvat skyddsnivå. Notera att du vid överföringar till länder utanför EU/EES självklart även måste följa övriga regler i dataskyddsförordningen, GDPR.
Vad är PCLOB och påverkas beslutet om adekvat skyddsnivå för USA av att flera medlemmar i PCLOB har avskedats?
Innan EU-kommissionen fattar ett beslut om adekvat skyddsnivå utvärderar de ett antal olika faktorer för att säkerställa att personuppgifter kommer att behandlas och skyddas på liknande sätt i det aktuella landet som inom EU/EES.
I beslutet om adekvat skyddsnivå för USA lyfter EU-kommissionen särskilt fram PCLOB (Privacy and Civil Liberties Oversight Board). PCLOB övervakar bland annat amerikansk underrättelsetjänst för att säkerställa att individers rättigheter inte kränks när personuppgifter samlas in. Detta är en viktig del för att säkerställa att personuppgifter som överförs till USA behandlas på ett tillfredsställande sätt och en viktig del i EU-kommissionens beslut om adekvat skyddsnivå för USA.
USA:s president har nyligen avskedat flera av PCLOB:s ledamöter, och som ett resultat av detta finns det endast en ledamot kvar då denna text publiceras. Det betyder att PCLOB just nu inte är beslutför. Detta har skapat frågetecken kring om och i så fall hur EU-kommissionens beslut om adekvat skyddsnivå kan komma att påverkas.
EU-kommissionen har i uppgift att kontinuerligt övervaka utvecklingen i de länder för vilka ett beslut om adekvat skyddsnivå finns. Om det finns information som visar att ett adekvat skydd inte längre kan säkerställas kan EU-kommissionen återkalla, ändra eller upphäva beslutet. Även EU-domstolen kan ogiltigförklara ett beslut om adekvat skyddsnivå.
Något sådant beslut finns inte och därför gäller adekvansbeslutet fortfarande. Det är alltså fortfarande tillåtet att föra över personuppgifter till organisationer i USA som omfattas av EU-U.S. Data Privacy Framework.
Vad händer om det sker andra förändringar i USA?
Som sagts ovan så har EU-kommissionen till uppgift att övervaka utvecklingen, inklusive ändringar i lagar eller praxis, i länder som har ett beslut om adekvat skyddsnivå. EU-kommissionen bedömer om ändringarna innebär att personuppgifter som överförts från EU/EES inte längre är tillräckligt skyddade och kan i sådana fall återkalla eller upphäva beslutet. Om så sker är det inte längre tillåtet att överföra personuppgifter från EU/EES till landet ifråga med adekvansbeslut som stöd.
Ett beslut om adekvat skyddsnivå fortsätter att gälla tills det återkallas eller upphävs av EU-kommissionen eller ogiltigförklaras av EU-domstolen.
Detta innebär att eventuella förändringar i USA inte automatiskt leder till att beslutet upphävs. EU-kommissionen kommer dock löpande att övervaka och utvärdera sådana förändringar.
IMY kan som nationell dataskyddsmyndighet inte upphäva ett beslut om adekvat skyddsnivå eller förbjuda överföringar som sker i enlighet med ett sådant beslut.
Vad bör ditt företag tänka på?
Det är viktigt att hålla sig informerad och uppdaterad om utvecklingen kring beslutet om adekvat skyddsnivå för USA. Om någon förändring skulle ske kommer IMY att informera om det omgående. Det är också viktigt att vara medveten om vad det skulle innebära om beslutet om adekvat skyddsnivå skulle upphävas, nämligen att man då behöver hitta ett annat stöd (enligt kapitel V i GDPR) för att kunna överföra personuppgifter till USA.