Mer än 2 000 amerikanska företag listas som anslutna till det nya GDPR-ramverket, som ska förenkla personuppgiftsöverföringar mellan EU och USA. Med på listan finns även några av världens största it-leverantörer. Om det nya ramverket blir långvarigt återstår dock att se: planer för en prövning av regelverket i EU-domstolen har redan annonserats.
Den 10 juli beslutade EU-kommissionen att återigen klassificera USA som ett tredjeland som ”säkerställer en adekvat skyddsnivå för personuppgifter” enligt dataskyddsförordningen, GDPR.
Kommissionens beslut – som aviserades redan i slutet av förra året – är resultatet av omfattande förhandlingar mellan EU och USA inom dataskyddsområdet. Det är också den tredje gången som ett beslut av detta slag fattas, sedan EU-domstolen vid två tidigare tillfällen slagit ner på liknande adekvansbeslut för USA i de så kallade Schrems I- och Schrems II-målen.
Grönt ljus för enklare personuppgiftsöverföringar till USA
Beslutet, som trädde i kraft omgående den 10 juli, innebär att överföringar av personuppgifter till företag i USA än en gång ”grönlistas” – under förutsättning att det mottagande företaget har valt att ansluta sig till det så kallade ”ramverket för dataskydd” mellan EU och USA (EU-U.S. Data Privacy Framework Principles).
Företag som anslutit sig till ramverket åtar sig att iaktta vissa skyldigheter, liknande de som gäller för europeiska företag under GDPR. Bland annat åtar sig anslutna företag att ge registrerade tillgång till de personuppgifter som behandlas av företaget och att inte behandla personuppgifter för andra ändamål än de för vilka uppgifterna samlades in. Anslutna företag åtar sig också att iaktta vissa begränsningar när personuppgifter överförs vidare till andra företag.
Företag i EU kan därmed överföra personuppgifter till anslutna företag i USA direkt på grundval av deras medverkan i ramverket – och utan att behöva tillämpa särskilda standardavtalsklausuler, genomföra omfattande Transfer Impact Assessments och vidta kompletterande tekniska skyddsåtgärder (som till exempel kryptering av personuppgifter).
Fler än 2 000 företag redan anslutna till ramverket
Anslutningen till det nya ramverket sker genom en självcertifieringsprocess, och företag som fullgjort anslutningen tillkännages löpande på en särskild webbsida som drivs av det amerikanska handelsdepartementet och The International Trade Administration.
Till dags dato finns över 2 400 företag listade på hemsidan – inklusive några av världens ledande it-leverantörer och -plattformar. Med på listan finns bland annat:
- Microsoft Corporation
- Google LLC
- Amazon. com Inc och Amazon Web Services, Inc
- International Business Machines Corporation (IBM)
- Meta Platforms, Inc
Många av de listade företagen är sådana som redan hade certifierat sig enligt det tidigande gällande Privacy Shield-ramverket, som underkändes av EU-domstolen i Schrems II-målet. Företag som certifierats enligt det tidigare ramverket är nu skyldiga att följa det nya ramverket – eller självmant begära utträde från ramverket. De har tre månader på sig från det nya ramverkets ikraftträdande att uppdatera sina personuppgiftspolicyer och -rutiner och för att återspegla det nya ramverket.
”Schrems III” förbereds – kan bli verklighet redan 2024
Om det nya adekvansbeslutet kommer att stå sig på sikt återstår att se. Flera europeiska organisationer och dataskyddsexperter – däribland Max Schrems och organisationen noyb, som legat bakom rättsprocesserna kring kommissionens tidigare adekvansbeslut i Schrems I och Schrems II – har redan kritiserat de rättsinstrument som ligger till grund för kommissionens nya adekvansbeslut.
I ett uttalande som publicerades samma dag som EU-kommissionens beslut skriver noyb att de kommer att utmana det nya beslutet, och att de förväntar sig att en ny prövning i EU-domstolen kan aktualiseras redan ”i slutet av 2023 eller i början av 2024”.
EU-kommissionens nya adekvansbeslut finns att läsa i dess helhet här.
Om du har frågor om det nya adekvansbeslutet är du välkommen att kontakta Mats Ohlén och Esa Kymäläinen, advokater och partners, eller Fredrik Thorslund, biträdande jurist, på TIME DANOWSKY Advokatbyrå.
