Överföring på grundval av ett beslut om adekvat skyddsnivå
Personuppgifter får överföras utanför Europeiska unionen och Europeiska ekonomiska samarbetsområdet, om kommissionen har meddelat ett beslut om adekvat skyddsnivå (s.k. likvärdighetsbeslut, artikel 45 i dataskyddsförordningen). Kommissionens beslut ges företräde framom andra överföringsgrunder. Beslutet kan gälla ett visst land eller territorium, en viss sektor eller en viss internationell organisation utanför Europeiska unionen och Europeiska ekonomiska samarbetsområdet.
Personuppgifter får överföras direkt med utgångspunkt i likvärdighetsbeslutet och inget särskilt tillstånd behövs t.ex. från dataombudsmannen. Även i dessa situationer ska dataskyddslagstiftningen iakttas i sin helhet. Behandlingen av personuppgifter ska vara förenlig med lag före, under och efter överföringen.
Kommissionen granskar besluten på nytt minst vart fjärde år. Beslut om kommissionen har tagit innan dataskyddsförordningen började tillämpas är i regel i kraft även efter att förordningen börjat tillämpas. Kommissionen kan emellertid se över dem på nytt och vid behov meddela nya beslut.
De likvärdighetsbeslut som kommissionen gett hittills gäller följande länder (länkarna leder till EUR-Lex webbtjänsten):
Andorra, Argentina, Färöarna, Guernsey, Israel, Isle of Man, Japan, Jersey, Nya Zeeland, Schweiz, Storbritannien, Sydkorea och Uruguay.
Därtill har kommissionen gett ett partiellt likvärdighetsbeslut som gäller Kanada (kommersiella organisationer).
Aktuell lista på likvärdighetsbeslut och annan aktuell information på kommissionens webbplats
Likvärdighetsbesluten med stöd av den allmänna dataskyddsförordningen tillämpas inte på överföring av uppgifter inom dataskyddsdirektivets tillämpningsområde, och likvärdighetsbeslut med stöd av dataskyddsdirektivet har ännu inte meddelats, med undantag för Storbritannien. Vid överföringar till tredjeland ska andra överföringsinstrument i dataskyddslagen för brottmål användas.
Ramverket för dataskydd mellan EU och USA
Europeiska kommissionens beslut om adekvat skyddsnivå för USA trädde i kraft den 10 juli. På basis av adekvansbeslutet kan personuppgifter överföras från EU-/EES-området till deltagande amerikanska företag utan separata skyddsåtgärder.
Med stöd av adekvansbeslutet kan personuppgifter överföras till certifierade företag i USA, som har förbundit sig till de skyddsåtgärder som avtalats i ramverket för dataskydd. Adekvansbeslutet kan inte användas för dataöverföring mellan aktörer inom den offentliga sektorn.
- Beslutet om adekvat skyddsnivå för USA (på kommissionens webbplats på engelska)
- Vanliga frågor om beslutet om adekvat skyddsnivå för USA på vår webbplats
- Ofta ställda frågor om ramverket för dataskydd mellan EU och USA (på kommissionens webbplats på engelska)
- Ofta ställda frågor om ramverket för dataskydd mellan EU och USA för privatpersoner (på dataskyddsstyrelsens webbplats på engelska)
- Ofta ställda frågor om ramverket för dataskydd mellan EU och USA för företag (på dataskyddsstyrelsens webbplats på engelska)
- Förteckningen över certifierade organisationer som förbundit sig till likvärdighetsbeslutet (USA:s handelskommission)
Vanliga frågor om beslutet om adekvat skyddsnivå för USA
Europeiska kommissionens beslut om adekvat skyddsnivå för USA trädde i kraft 10.7.2023.
Med stöd av likvärdighetsbeslutet kan organisationer inom Europeiska ekonomiska samarbetsområdet (EES) överföra personuppgifter till certifierade amerikanska företag som har förbundit sig till de skyddsåtgärder som fastställts i likvärdighetsbeslutet. På basis av likvärdighetsbeslutet kan personuppgifter överföras direkt, utan ett särskilt tillstånd till exempel från dataombudsmannen.
Likvärdighetsbeslutet förbättrade rättigheterna för EU-medborgare i och med att de skyddsåtgärder som införts av USA tillämpas till alla uppgifter som överförts till USA oavsett överföringsgrund. De nya skyddsåtgärderna handlar om rättsskyddsmedel för registrerade inom EES samt proportionaliteten och nödvändigheten av USA:s underrättelselagstiftning.
För överföring av personuppgifter utanför EES ska alltid finnas en grund som fastställts i kapitel V i den allmänna dataskyddsförordningen. Kommissionens beslut om adekvat skydd är en av grunderna för överföring av personuppgifter.
En överföringsgrund berättigar inte ensam överföring av personuppgifter utanför EES, utan den personuppgiftsansvariga ska beakta alla krav som ställts i dataskyddsförordningen. Utöver dataskyddsförordningen ska den registeransvariga även beakta annan dataskyddslagstiftning, till exempel de nationella dataskyddslagarna samt den särskilda lagstiftning som gäller vissa branscher och register. Uppgifter kan inte överföras till en mottagare i USA om behandlingen av uppgifterna i sin helhet inte uppfyller lagstiftningens krav.
Läs mer:
Med stöd av Europeiska kommissionens likvärdighetsbeslut kan uppgifter överföras av aktörer i såväl den privata, offentliga som den tredje sektorn. Likvärdighetsbeslutet kan dock inte användas som grund för överföring av uppgifter mellan organisationer i den offentliga sektorn eftersom amerikanska organisationer i den offentliga sektorn inte kan certifieras i arrangemanget.
Organisationer inom den offentliga sektorn inom EES kan inte överföra uppgifter till organisationer inom den amerikanska offentliga sektorn med likvärdighetsbeslutet som grund. I dessa fall måste det finnas en annan grund i enlighet med dataskyddsförordningen för överföringen av personuppgifter.
Läs mer:
Överföring av personuppgifter till länder utanför Europeiska ekonomiska samarbetsområdet
Organisationen, alltså mottagaren av uppgifterna, ska finnas i registret Data Privacy Framework där USA:s handelsdepartement listar alla certifierade amerikanska organisationer.
- Förteckningen över certifierade organisationer som förbundit sig till likvärdighetsbeslutet: https://www.dataprivacyframework.gov/list
Endast organisationer som lyder under USA:s handelskommission (Federal Trade Commission, FTC) eller USA:s transportdepartement (U.S. Department of Transportation, DoT) kan certifiera sig som aktörer som iakttar likvärdighetsbeslutet. Till exempel amerikanska myndigheter, banker och försäkringsbolag kan inte certifiera sig.
Överföringar av uppgifter som grundar sig på likvärdighetsbeslutet behöver inte kompletteras med ytterligare skyddsåtgärder. Den personuppgiftsansvariga ska dock beakta de övriga kraven i lagstiftningen, såsom dataskyddsprinciperna, transparent information till de registrerade och tillgodoseendet av de registrerades rättigheter.
Användningen av molntjänster förknippar med särskilda utmaningar med användning av underleverantörer och definitionen av rollerna av personuppgiftsbiträden. Mer information om användning av molntjänster finns i Europeiska dataskyddsstyrelsens rapport (länk till rapporten finns nedan).
Medborgarna kan i regel inte välja om de använder den offentliga sektorns tjänster eller inte. Därför har aktörerna i den offentliga sektorn ett särskilt ansvar vad gäller val av tjänsteleverantörer, även ur perspektivet för dataskyddslagstiftningen.
Läs mer:
Kommissionens likvärdighetsbeslut är en av överföringsgrunderna i den allmänna dataskyddsförordningen. Likvärdighetsbeslutet underlättar överföring av uppgifter till certifierade organisationer i USA. Utöver överföringsgrunden ska den personuppgiftsansvariga dock komma ihåg att dataskyddslagstiftningen ska beaktas i sin helhet.
Den personuppgiftsansvariga ska bland annat bedöma riskerna med behandlingen av personuppgifter. Vid behov ska en konsekvensbedömning avseende dataskydd genomföras om den planerade behandlingen av personuppgifter sannolikt medför en hög risk för människornas rättigheter och friheter.
Användningen av molntjänster förknippar med särskilda utmaningar med användning av underleverantörer och definitionen av rollerna av personuppgiftsbiträden. Mer information om användning av molntjänster finns i Europeiska dataskyddsstyrelsens rapport (länk nedan).
Läs mer:
- Vad organisationerna ska beakta i behandlingen av personuppgifter
- Konsekvensbedömning
- Europeiska dataskyddsstyrelsens rapport Coordinated Enforcement Action, use of cloud-based services by the public sector (på Europeiska dataskyddsstyrelsens webbplats, på engelska)
- Förteckningen över certifierade organisationer som förbundit sig till likvärdighetsbeslutet: https://www.dataprivacyframework.gov/s/participant-search
Dataskyddsmyndigheterna bedömer rättsläget under tiden för klagomålets anförande. Likvärdighetsbeslutet fungerar alltså inte retroaktivt. Klagomål till myndigheterna avgörs alltid från fall till fall.
Du har rätt att få tillgång till dina egna personuppgifter. Du kan be organisationen om information om vilka av dina uppgifter som behandlas. Du kan också be organisationen att korrigera, komplettera eller radera dina uppgifter om uppgifterna är oprecisa eller de har behandlats i strid med principerna av likvärdighetsbeslutet.
Vem ska jag anföra klagomål hos?
Du kan övervaka dina rättigheter och anföra ett klagomål på flera olika sätt.
Ett företag som certifierat sig under likvärdighetsbeslutet ska publicera sina kontaktuppgifter för anförande av eventuella klagomål samt kontaktuppgifterna av ett oberoende tvistlösningsorgan. Företaget ska besvara klagomålet inom 45 dagar från klagomålets mottagande.
Som en privatperson kan du anföra ett klagomål
- direkt hos den organisation som behandlar dina personuppgifter
- hos ett oberoende tvistlösningsorgan
- hos den nationella dataskyddsmyndigheten (i Finland dataombudsmannens byrå)
- hos USA:s handelsdepartement (DoC) eller
- hos USA:s handelskommission (FTC).
Du kan välja vilken som helst av mekanismerna för ändringssökande ovan eller alla i vilken ordning som helst. Du har ingen skyldighet att välj en mekanism över en annan eller att framskrida i en viss ordning. Vid behov kommer ditt ärende att avgöras med ett beslut som erbjuder effektiva rättsskyddmedel.
Om ditt klagomål inte har kunnat avgöras i någon av dessa mekanismer för ändringssökande eller verkställighet, kan du ännu vända dig till ett bindande skiljeförfarande (EU-U.S. Data Privacy Framework-panel).
Du kan anföra klagomål hos den nationella dataskyddsmyndigheten. I Finland är dataombudsmannen den nationella dataskyddsmyndigheten. Dataombudsmannens byrå förmedlar ditt klagomål till Europeiska dataskyddsstyrelsen och dataskyddsstyrelsen förmedlar klagomålet vidare till USA.
En oberoende myndighet i USA behandlar privatpersoners klagomål om överföringar av uppgifter från EES till USA samt användning av uppgifterna hos USA underrättelsetjänst.
Du kan lämna in ett klagomål även om du inte är säker på att USA:s underrättelsetjänst har behandlat dina uppgifter.
Kontaktuppgifter till dataombudsmannens byrå
Hur framskrider behandlingen av mitt ärende i USA?
USA:s regering har inrättat en ny prövningsmekanisk som består av två nivåer. Först behandlas klagomålet av USA:s underrättelsetjänsts tjänsteman med ansvar för skyddet av medborgerliga friheter. Tjänstemannen ansvarar för att integritetsskydd och de grundläggande rättigheterna iakttas vid USA:s underrättelsetjänst.
När tjänstemannens utredning är slutförd kommer du att underrättas om dess slutresultat:
- huruvida man förfarit i strid med lagstiftningen
- hur den eventuella förseelsen har åtgärdats.
Om du inte är nöjd med beslutet av tjänstemannen med ansvar för skyddet av medborgerliga friheter kan du överklaga beslutet hos domstolen för dataskyddsgranskning (Data Protection Review Court, DPRC).
Domstolen för dataskyddsgranskning kan begära nödvändiga uppgifter av underrättelsetjänsten för att behandla klagomål. Domstolen kan meddela bindande korrigerande beslut och till exempel beordra att uppgifterna raderas.
När domstolen för ändringssökande har slutfört sin granskning av ärendet kommer du att underrättas om dess slutresultat:
- huruvida man förfarit i strid med lagstiftningen
- hur den eventuella förseelsen har åtgärdats.
Du kommer också att få ett meddelande under ett senare skede när du kan få ytterligare information om behandlingen av ditt ärende.
Europeiska kommissionen bedömer ramen för dataskydd mellan EU och USA regelbundet tillsammans med de europeiska dataskyddsmyndigheterna och representanterna för USA:s behöriga myndigheter.
Den första bedömningen kommer att ske inom ett år från det att likvärdighetsbeslutet träder i kraft. Vid bedömningen beaktas genomförandet av likvärdighetsbeslutet i USA:s lagstiftning och utreds om skyddsåtgärderna fungerar effektivt i praktiken.