Dataöverföring till USA godkänns av EU

EU har godkänt att dataöverföring av personuppgifter till USA får ske. Amerikanska underrättelsetjänster ska dock endast få tillgång till uppgifter i den mån det är ”nödvändigt och proportionerligt”.

Det måste även inrättas” en oberoende och opartisk prövningsmekanism för att hantera och lösa klagomål från européer om insamling av deras uppgifter för nationella säkerhetsändamål”.

På grundval av beslutet om adekvat skyddsnivå kan personuppgifter fritt strömma från EU till företag i USA som deltar i Data Privacy Framework, heter det i Kommissionens officiella tillkännagivande (se länk nedan).

Bindande skyddsåtgärder

Vidare meddelar Kommissionen:

Beslutet om adekvat skyddsnivå följde på antagandet av Executive Order on ”Förbättra skyddsåtgärder för Förenta staternas signalunderrättelseverksamhet” av USA:s president Biden den 7 oktober och en förordning utfärdad av USA:s justitieminister. Genom dessa instrument infördes nya bindande skyddsåtgärder för att ta itu med de frågor som Europeiska unionens domstol tog upp i sitt Schrems II-beslut från juli 2020, vilket säkerställer att amerikanska underrättelsetjänster endast kan få tillgång till uppgifter i den mån det är nödvändigt och proportionerligt och inrättar en oberoende och opartisk prövningsmekanism för att hantera och lösa klagomål från européer om insamling av deras uppgifter för nationella säkerhetsändamål.

”Äntligen”

Arbetsgivarorganisationen Svenskt Näringsliv skriver på sin hemsida: ”Den 10 juli kom så äntligen beslutet från EU-kommissionen att dataflöden till USA återigen anses vara lagliga utan extra säkerhetsåtgärder.”

Enligt uppgift kallas det nya avtalet EU-U.S. Data Privacy Framework. I det stipuleras varför, till vem och hur personuppgifter lagligt kan överföras till USA. EU-kommissionen slår fast att de rättsliga förändringarna för dataskydd i USA underlättar användandet av andra överföringsmekanismer som till exempel Standardkontrakts-klausuler som används vid kommersiell överföring till organisationer utan certifiering, skriver Svensk Näringsliv.

IMY: ”Lämpliga skyddsåtgärder”

Enligt Integritetsskyddmyndigheten, IMY, får personuppgifter överföras till ett land utanför EU/EES ”om den personuppgiftsansvariga vidtar lämpliga skyddsåtgärder genom att använda exempelvis bindande företagsbestämmelser eller standardavtalsklausuler”. Det tycks dock inte som om myndigheten uppdaterat sin sida efter det nya avtalet mellan EU och USA trädde i kraft i juli 2023. Sidan uppges vara uppdaterad den 26 januari 2023, alltså cirka ett halvår innan det transatlantiska avtalet.

Följande ”lämpliga skyddsåtgärder” anges:

  • rättsligt bindande instrument mellan myndigheter
  • bindande företagsbestämmelser
  • standardavtalsklausuler som EU-kommissionen har beslutat om
  • godkända uppförandekoder eller certifieringsmekanismer
  • ad hoc-klausuler som godkänts av IMY
  • administrativ överenskommelse mellan myndigheter som godkänts av IMY.

IMY framhåller att det dessutom måste finnas lagstadgade rättigheter och möjlighet för de registrerade att klaga på personuppgiftsbehandlingen och få den prövad i domstol.

Klicka här för att läsa om EU-USA-avtalet på EU:s sajt.