Nyligen har EU-kommissionen fattat ett beslut som ska stärka skyddet och förenkla överföringen av personuppgifter från EU till USA. Det nya beslutet (som refereras till som “beslutet om adekvat skyddsnivå”) presenterades den 11 juli 2023, innebär att USA:s regelverk nu säkerställer en skyddsnivå som motsvarar de europeiska säkerhetsstandarderna.

I den här artikeln berättar vi om vad det här beslutet egentligen innebär och besvarar de frågor som du som chef och IT-ansvarig kan ha när det gäller uppdateringen av dataskyddet.

Med det nya beslutet kan du skicka personuppgifter från EU till amerikanska företag som deltar i EU-US Data Privacy Framework, eller “DPF” som det förkortas – utan att de behöver vidta ytterligare dataskyddsåtgärder.

Vad är EU-US Data Privacy Framework (DPF)?

EU-US Data Privacy Framework (DPF) är den överenskommelse med skyddsåtgärder som ser till att personuppgifter behandlas korrekt när de överförs mellan EU och USA. I och med det nya beslutet har man nu från EU:s håll fastställt att DPF håller en “adekvat skyddsnivå” i enlighet med europeiska säkerhetsstandarder.

DPF ersätter de tidigare avtalen “Safe Harbour” och “Privacy Shield” som EU-domstolen ogiltigförklarade i samband med Shrems 1 och 2-målen då man såg flera brister som hindrade skyddet av personuppgifter och stred mot GDPR.

Hur påverkar “beslutet om adekvat skyddsnivå” företag som överför personuppgifter?

Genom att ansluta sig till DPF åtar sig amerikanska företag att följa de regler som ramverket innefattar och får då hantera personuppgifter från EU utan ytterligare skyddsåtgärder. För europeiska aktörer innebär det att man kan vara säker på att de personuppgifter man överför hanteras på rätt sätt – så länge man arbetar med ett företag som är ansluten till DPF.

Hur kommer EU-US Data Privacy Framework fungera i praktiken?

Amerikanska företag kommer kunna ansluta sig till DPF via amerikanska handelsdepartementet. Ett anslutet företag åtar sig till exempel att radera personuppgifter som inte längre behövs för det ändamål de samlats in för – och se till att personuppgifterna fortfarande skyddas om de delas med en tredje part.

Privatpersoner i EU kommer kunna få möjlighet till prövning om man till exempel anser att personuppgifter hanterats på ett felaktigt sätt. Kostnadsfri hjälp med oberoende tvistlösning och en skiljedomsgrupp kommer att erbjudas.

DPF innefattar också flera skyddsåtgärder som styr amerikanska myndigheters tillgång till personuppgifter, som vid brottsbekämpning. Tillgången begränsas till vad som är nödvändigt och proportionerligt för att skydda den nationella säkerheten. En ny dataskyddsdomstol kommer att utreda och lösa klagomål från privatpersoner som gäller detta..

Hur kommer efterlevnaden av EU-US Data Privacy Framework följas upp?

DPF:s två huvudsakliga tillsynsorgan kommer att vara amerikanska handelsdepartementet (US Department of Commerce) som ska hantera certifieringar och övervakning av företag samt federala handelskommissionen (US Federal Trade Commission) som ska verkställa efterlevnaden och vidta åtgärder vid överträdelser.

EU-kommissionen kommer att samarbeta med europeiska dataskyddsmyndigheter och amerikanska myndigheter för att regelbundet granska hur EU-US Data Privacy Framework fungerar i praktiken.

Vad betyder beslutet för företag som har använt standardavtalsklausuler och bindande företagsbestämmelser innan?

För företag som tidigare förlitat sig på standardavtalsklausuler och bindande företagsbestämmelser betyder det här beslutet att de kan fortsätta använda dessa eftersom skyddsåtgärderna inom DPF är utformade för att komplettera och förstärka dessa befintliga verktyg.

Det nya beslutet innebär ett steg framåt för dataskydd och integritet

I och med det här beslutet kommer fler dörrar öppnas för enklare och säkrare hantering av personuppgifter. Det ger både företag och individer fler möjligheter och resurser att säkerställa att deras uppgifter hanteras på ett korrekt och säkert sätt.

Vill du veta mer om hur vi på EPM hjälper våra kunder att skydda sin data? Kontakta oss så berättar vi mer.