EU-U.S Data Privacy Framework – vad innebär det nya regelverket i praktiken?

Är det fritt fram för överföringar av personuppgifter till USA med anledning av EU-kommissionens antagande av EU-U.S. Data Privacy Framework (DPF)?

Nej, så enkelt är det inte. Nedan följer information om några delar som det kan vara bra att känna till för er som vill föra över personuppgifter till USA.

Gäller EU-U.S. Data Privacy Framework alla amerikanska bolag?

Nej, DPF gäller inte alla amerikanska bolag utan endast de bolag som har valt att ansluta sig till ramverket. Om just det amerikanska bolag som ni vill överföra personuppgifter till har valt att ansluta sig kan ni ta reda på genom att söka på följande sida: https://www.dataprivacyframework.gov/s/

Om vi har konstaterat att det bolag vi vill överföra personuppgifter till omfattas av EU-U.S. Data Privacy Framework – är vi klara då?

Nej, ni är inte ”klara” genom att endast ha konstaterat att det aktuella bolaget återfinns på den aktuella DPF-listan. Det är viktigt att ni även kontrollerar att det aktuella bolaget anger Data Privacy Framework i sin Privacy Policy och att de personuppgiftsbehandlingar som anges i bolagets privacy policy omfattar den personuppgiftsbehandling som ni vill att det aktuella bolaget ska göra. Vidare behöver ni – för att ni ska omfattas av DPF – ingå ett avtal med det aktuella bolaget. Det aktuella avtalet skulle kunna utgöra en del av det amerikanska bolagets allmänna villkor men detta kan se olika ut beroende på bolag och bransch.

Måste vi ändå ingå standardavtalsklausuler med det mottagande amerikanska bolaget om vi förlitar oss på EU-U.S. Data Privacy Framework?

Nej, ni behöver inte ingå EU-kommissionens standardavtalsklausuler för tredjelandsöverföring om mottagaren omfattas av Data Privacy Framework. Genom Data Privacy Framework har EU-kommissionen säkerställt en adekvat skyddsnivå. Däremot kan ni behöva ingå personuppgiftsbiträdesavtal med mottagaren i USA för det fall det mottagande bolaget är ert personuppgiftsbiträde. Notera att ni kan behöva – eller att mottagaren i USA kan behöva – ingå standardavtalsklausuler för tredjelandsöverföring i förhållande till eventuella underbiträden.

Vad gäller i förhållande till EDPB:s rekommenderade transfer impact assessment (se Rekommendationer 01/2020 om åtgärder som komplement till överföringsverktyg för att säkerställa överensstämmelsen med EU-nivån för skydd av personuppgifter) nu när EU-U.S. Data Privacy Framework är på plats?  

En transfer impact assessment måste fortfarande göras i förhållande till överföringar till USA trots Data Privacy Framework. Rent praktiskt innebär detta i förhållande till USA att ni behöver gå igenom steg 1 och 2 samt vidta åtgärder i förhållande till steg 6 i EDPB:s rekommendation enligt nedan:

Steg 1 – Lär känna dina överföringar

Steg 2 – Identifiera vilka överföringsverktyg du förlitar dig på

Steg 6 – Omvärdera med lämpliga mellanrum

Kommer EU-U.S. Data Privacy Framework att stå sig eller kommer det att ogiltigförklaras av EU-domstolen på samma sätt som Safe Harbor och Privacy Shield?

Det finns såklart en stor risk att även DPF kommer att ogiltigförklaras av EU-domstolen i framtiden. Med anledning av detta kan det vara värt att redan nu börja fundera på hur ni skulle hantera en sådan situation och vad ni kan ha på plats för att eventuellt minska konsekvenserna av att DPF från en dag till en annan ogiltigförklaras.

Delphi har senast skrivit om EU-U.S Data Privacy Framework här, och fortsätter att bevaka utvecklingen och konsekvenserna av det antagna ramverket.

Denna artikel är skriven av Partner/Advokat Johan Engdahl.