EU-U.S. Data Privacy Framework (DPF) är ett nytt beslut som möjliggör överföring av personuppgifter från EU till USA utan att kräva ytterligare dataskyddsåtgärder. DPF ska ersätta det tidigare Privacy Shield-avtalet som ogiltigförklarades av EU-domstolen i den så kallade Schrems II-domen år 2020. Detta avtal är resultatet av ett beslut från EU-kommissionen som fastställer att USA nu uppfyller en adekvat skyddsnivå för personuppgifter från EU. Med andra ord så är det nu tillåtet att använda subprocessors i USA där viss dataöverföring kan ske, så länge dessa är certifierade.
En av de mest betydelsefulla aspekterna av detta beslut är förändringarna i USA:s underrättelse- och övervakningsreglering. Genom Executive Order, EO 14086, har USA infört nya bindande skyddsåtgärder som syftar till att begränsa och reglera tillgång till personuppgifter av underrättelsetjänster. Dessa bestämmelser ska enkelt förklarat bemöta de brister som EU-domstolen ansåg fanns i Privacy Shield. Detta syftar till att säkerställa att tillgång till data sker enligt proportionalitet och nödvändighet.
Det är viktigt att notera att de nya skyddsåtgärderna i USA gäller för alla dataöverföringar, oavsett vilka överföringsmekanismer som används. Detta inkluderar inte bara EU-U.S. DPF utan även andra mekanismer som standardiserade kontraktsklausuler eller andra bindande företagsbestämmelser. Detta gör det enklare för företag att överföra känsliga data över gränserna.
För EU-medborgare finns det flera nya rättigheter som följer med detta beslut. De har rätt att få tillgång till sina uppgifter, rätta felaktiga eller olagligt behandlade uppgifter, och begära att deras data raderas om det är nödvändigt. Dessutom finns det kostnadsfri och oberoende hjälp tillgängliga om det skulle uppstå problem med hur deras data hanteras. Den mekanism som gör det möjligt för EU-invånare att söka rättelse kallas för Data Protection Review Court (DPRC).
För att delta i EU-U.S. DPF måste amerikanska företag certifiera sig och följa en uppsättning integritetsskyldigheter. Detta inkluderar principer som ändamålsbegränsning, uppgiftsminimering och lagringsminimering, samt säkerhetsåtgärder och skyldigheter vid delning av data med tredje part. US Department of Commerce kommer att administrera detta och övervaka företagens efterlevnad. Det är viktigt att notera att DPF alltså kommer, precis som tidigare ramverk som legat till grund för adekvansbeslut (adekvat skyddsnivå) avseende USA, endast att gälla för de organisationer som själva meddelar att de vill efterleva principerna i ramverket.
Alla typer av IT-system som hanterar data i molnet behöver lagra sin data någonstans. Det finns olika lösningar som är vanliga i branschen, exempelvis Microsoft Azure eller AWS (Amazon webservices). Då dessa är amerikanska företag har det så klart funnits en oro för att känsliga data ska delas till tredjeland.
För organisationer som har köpt in och använder HR-system som lagrar sina data i exempelvis Microsoft Azure, är EU-kommissionens beslut om adekvat skyddsnivå betydelsefullt. I Sverige har man dock länge ställt höga krav på dataskydd och skydd för personuppgifter, exempelvis genom att kräva datalagring inom EU och omfattande avtalstillägg avsedda att skydda personuppgifter och känsliga data. Det i sin tur har gjort att leverantörer av IT-system ställt högre krav på de datacenter och sub-processors som används.
Traditionellt har frågor om dataskydd och internationell dataöverföring varit en oro för HR och IT, oavsett om det är privata företaga eller offentlig sektor som hanterar känslig personalinformation, främst för att det är en snårig djungel att orientera sig i. Det har dessutom skett mycket på området de senaste åren vilket har bidragit till att det har varit svårt att skapa sig en överblick och känna trygghet.
Trots nya DPF är det är dock fortfarande lika viktigt att säkerställa datasäkerhet och efterlevnad av gällande lagar och regler när man köper in ett HR-system, eller ett annat IT-system som ska hantera känsliga data och personuppgifter. Att ställa frågor till leverantören om deras dataskyddspolicy, jurisdiktion, lagring och eventuella tredjepartsavtal samt hur de hanterar dataåtkomst, rapporterar incidenter och så vidare, är relevant för att säkerställa att de följer GDPR och annan relevant reglering.
Notera också att DPF skiljer på vanliga data och HR-data, säkerställ därför att det finns certifiering för båda.
EU-US Data Privacy Framework började gälla samma dag som det antogs, den 10 juli 2023. Ett register över de organisationer som har anslutit sig till ramverket finns tillgängligt på en särskilt upprättad hemsida av USA:s handelsdepartement.
EU-kommissionens beslut om adekvat skyddsnivå för personuppgifter som överförs till USA är en viktig milstolpe för dataskydd och internationell dataöverföring. Det signalerar samarbete mellan EU och USA för att stärka skyddet av personuppgifter samtidigt som det underlättar nödvändig överföring av data över gränserna.
Vänligen notera att detta blogginlägg är enbart informativt och inte utgör juridisk rådgivning. Vi rekommenderar att du alltid konsulterar med integritetsskyddsmyndigheten och juridiska experter för att säkerställa fullständig efterlevnad av gällande lagar och regler.