Överföring på grundval av ett beslut om adekvat skyddsnivå
Personuppgifter får överföras utanför Europeiska unionen och Europeiska ekonomiska samarbetsområdet, om kommissionen har meddelat ett beslut om adekvat skyddsnivå (s.k. likvärdighetsbeslut, artikel 45 i dataskyddsförordningen). Kommissionens beslut ges företräde framom andra överföringsgrunder. Beslutet kan gälla ett visst land eller territorium, en viss sektor eller en viss internationell organisation utanför Europeiska unionen och Europeiska ekonomiska samarbetsområdet.
Personuppgifter får överföras direkt med utgångspunkt i likvärdighetsbeslutet och inget särskilt tillstånd behövs t.ex. från dataombudsmannen. Även i dessa situationer ska dataskyddslagstiftningen iakttas i sin helhet. Behandlingen av personuppgifter ska vara förenlig med lag före, under och efter överföringen.
Kommissionen granskar besluten på nytt minst vart fjärde år. Beslut om kommissionen har tagit innan dataskyddsförordningen började tillämpas är i regel i kraft även efter att förordningen börjat tillämpas. Kommissionen kan emellertid se över dem på nytt och vid behov meddela nya beslut.
De likvärdighetsbeslut som kommissionen gett hittills gäller följande länder (länkarna leder till EUR-Lex webbtjänsten):
Andorra, Argentina, Färöarna, Guernsey, Israel, Isle of Man, Japan, Jersey, Nya Zeeland, Schweiz, Storbritannien, Sydkorea och Uruguay.
Därtill har kommissionen gett ett partiellt likvärdighetsbeslut som gäller Kanada (kommersiella organisationer).
Aktuell lista på likvärdighetsbeslut och annan aktuell information på kommissionens webbplats
Likvärdighetsbesluten med stöd av den allmänna dataskyddsförordningen tillämpas inte på överföring av uppgifter inom dataskyddsdirektivets tillämpningsområde, och likvärdighetsbeslut med stöd av dataskyddsdirektivet har ännu inte meddelats, med undantag för Storbritannien. Vid överföringar till tredjeland ska andra överföringsinstrument i dataskyddslagen för brottmål användas.
Ramverket för dataskydd mellan EU och USA
Europeiska kommissionens beslut om adekvat skyddsnivå för USA trädde i kraft den 10 juli. På basis av adekvansbeslutet kan personuppgifter överföras från EU-/EES-området till deltagande amerikanska företag utan separata skyddsåtgärder.
Med stöd av adekvansbeslutet kan personuppgifter överföras till certifierade företag i USA, som har förbundit sig till de skyddsåtgärder som avtalats i ramverket för dataskydd. Adekvansbeslutet kan inte användas för dataöverföring mellan aktörer inom den offentliga sektorn.
- Beslutet om adekvat skyddsnivå för USA (på kommissionens webbplats på engelska)
- Vanliga frågor om beslutet om adekvat skyddsnivå för USA på vår webbplats
- Ofta ställda frågor om ramverket för dataskydd mellan EU och USA (på kommissionens webbplats på engelska)
- Ofta ställda frågor om ramverket för dataskydd mellan EU och USA för privatpersoner (på dataskyddsstyrelsens webbplats på engelska)
- Ofta ställda frågor om ramverket för dataskydd mellan EU och USA för företag (på dataskyddsstyrelsens webbplats på engelska)
- Förteckningen över certifierade organisationer som förbundit sig till likvärdighetsbeslutet (USA:s handelskommission)
Vanliga frågor om beslutet om adekvat skyddsnivå för USA
För organisationer
Europeiska kommissionens beslut om adekvat skyddsnivå för USA trädde i kraft 10.7.2023.
Med stöd av likvärdighetsbeslutet kan organisationer inom Europeiska ekonomiska samarbetsområdet (EES) överföra personuppgifter till certifierade amerikanska företag som har förbundit sig till de skyddsåtgärder som fastställts i likvärdighetsbeslutet. På basis av likvärdighetsbeslutet kan personuppgifter överföras direkt, utan ett särskilt tillstånd till exempel från dataombudsmannen.
Likvärdighetsbeslutet förbättrade rättigheterna för EU-medborgare i och med att de skyddsåtgärder som införts av USA tillämpas till alla uppgifter som överförts till USA oavsett överföringsgrund. De nya skyddsåtgärderna handlar om rättsskyddsmedel för registrerade inom EES samt proportionaliteten och nödvändigheten av USA:s underrättelselagstiftning.
För överföring av personuppgifter utanför EES ska alltid finnas en grund som fastställts i kapitel V i den allmänna dataskyddsförordningen. Kommissionens beslut om adekvat skydd är en av grunderna för överföring av personuppgifter.
En överföringsgrund berättigar inte ensam överföring av personuppgifter utanför EES, utan den personuppgiftsansvariga ska beakta alla krav som ställts i dataskyddsförordningen. Utöver dataskyddsförordningen ska den registeransvariga även beakta annan dataskyddslagstiftning, till exempel de nationella dataskyddslagarna samt den särskilda lagstiftning som gäller vissa branscher och register. Uppgifter kan inte överföras till en mottagare i USA om behandlingen av uppgifterna i sin helhet inte uppfyller lagstiftningens krav.
Läs mer:
Med stöd av Europeiska kommissionens likvärdighetsbeslut kan uppgifter överföras av aktörer i såväl den privata, offentliga som den tredje sektorn. Likvärdighetsbeslutet kan dock inte användas som grund för överföring av uppgifter mellan organisationer i den offentliga sektorn eftersom amerikanska organisationer i den offentliga sektorn inte kan certifieras i arrangemanget.
Organisationer inom den offentliga sektorn inom EES kan inte överföra uppgifter till organisationer inom den amerikanska offentliga sektorn med likvärdighetsbeslutet som grund. I dessa fall måste det finnas en annan grund i enlighet med dataskyddsförordningen för överföringen av personuppgifter.
Läs mer:
Överföring av personuppgifter till länder utanför Europeiska ekonomiska samarbetsområdet
Organisationen, alltså mottagaren av uppgifterna, ska finnas i registret Data Privacy Framework där USA:s handelsdepartement listar alla certifierade amerikanska organisationer.
- Förteckningen över certifierade organisationer som förbundit sig till likvärdighetsbeslutet: https://www.dataprivacyframework.gov/list
Endast organisationer som lyder under USA:s handelskommission (Federal Trade Commission, FTC) eller USA:s transportdepartement (U.S. Department of Transportation, DoT) kan certifiera sig som aktörer som iakttar likvärdighetsbeslutet. Till exempel amerikanska myndigheter, banker och försäkringsbolag kan inte certifiera sig.
Överföringar av uppgifter som grundar sig på likvärdighetsbeslutet behöver inte kompletteras med ytterligare skyddsåtgärder. Den personuppgiftsansvariga ska dock beakta de övriga kraven i lagstiftningen, såsom dataskyddsprinciperna, transparent information till de registrerade och tillgodoseendet av de registrerades rättigheter.
Användningen av molntjänster förknippar med särskilda utmaningar med användning av underleverantörer och definitionen av rollerna av personuppgiftsbiträden. Mer information om användning av molntjänster finns i Europeiska dataskyddsstyrelsens rapport (länk till rapporten finns nedan).
Medborgarna kan i regel inte välja om de använder den offentliga sektorns tjänster eller inte. Därför har aktörerna i den offentliga sektorn ett särskilt ansvar vad gäller val av tjänsteleverantörer, även ur perspektivet för dataskyddslagstiftningen.
Läs mer:
Kommissionens likvärdighetsbeslut är en av överföringsgrunderna i den allmänna dataskyddsförordningen. Likvärdighetsbeslutet underlättar överföring av uppgifter till certifierade organisationer i USA. Utöver överföringsgrunden ska den personuppgiftsansvariga dock komma ihåg att dataskyddslagstiftningen ska beaktas i sin helhet.
Den personuppgiftsansvariga ska bland annat bedöma riskerna med behandlingen av personuppgifter. Vid behov ska en konsekvensbedömning avseende dataskydd genomföras om den planerade behandlingen av personuppgifter sannolikt medför en hög risk för människornas rättigheter och friheter.
Användningen av molntjänster förknippar med särskilda utmaningar med användning av underleverantörer och definitionen av rollerna av personuppgiftsbiträden. Mer information om användning av molntjänster finns i Europeiska dataskyddsstyrelsens rapport (länk nedan).
Läs mer:
- Vad organisationerna ska beakta i behandlingen av personuppgifter
- Konsekvensbedömning
- Europeiska dataskyddsstyrelsens rapport Coordinated Enforcement Action, use of cloud-based services by the public sector (på Europeiska dataskyddsstyrelsens webbplats, på engelska)
- Förteckningen över certifierade organisationer som förbundit sig till likvärdighetsbeslutet: https://www.dataprivacyframework.gov/s/participant-search
Dataskyddsmyndigheterna bedömer rättsläget under tiden för klagomålets anförande. Likvärdighetsbeslutet fungerar alltså inte retroaktivt. Klagomål till myndigheterna avgörs alltid från fall till fall.
Europeiska kommissionen bedömer ramen för dataskydd mellan EU och USA regelbundet tillsammans med de europeiska dataskyddsmyndigheterna och representanterna för USA:s behöriga myndigheter.
Den första bedömningen kommer att ske inom ett år från det att likvärdighetsbeslutet träder i kraft. Vid bedömningen beaktas genomförandet av likvärdighetsbeslutet i USA:s lagstiftning och utreds om skyddsåtgärderna fungerar effektivt i praktiken.