MyFondia VirtuellaJuristen
16 JANUARI 2017

Hur påverkar den nya Privacy Shield – överenskommelsen dataöverföring över Atlanten?

I augusti trädde den så kallade Privacy Shield -överenskommelsen i kraft. Avtalet som slutits mellan EU och USA godkändes av den Europeiska kommissionen den 12 juli och den innebär ett nytt villkor för dataöverföring som går över Atlanten. Behovet till en sådan här överenskommelse uppstod från att det tidigare systemet, Safe Harbor, förkastades i och med Schrem-beslutet som EU:s domstol tagit år 2015.

Privacy Shield skyddar EU medborgares grundläggande rättigheter till dataskydd i situationer där dataöverföringen går över Atlanten. Genom Privacy Shield får också ETA-länderna dylikt dataskydd, det vill säga förutom EU-länderna omfattas också isländska, liechtensteinska och norska medborgare av överenskommelsen. Av det här kunde man anta att Storbritanniens medborgare också i fortsättningen kommer att omfattas av det skydd som Privacy Shield ger trots att landet gått ur EU eftersom Storbritannien ändå hör till ETA-området.

Företag i USA kan certifiera sig och bli en del av Privacy Shield avtalet genom att lova att följa de regler som man kommit överens om inom ramarna för det här arrangemanget. Företagen måste förnya det här certifikatet varje år. Handelsministeriet i USA övervakar att reglerna följs samt utfärdar sanktioner till de företag som inte följer reglerna. Handelsministeriet kan också välja att utesluta företaget från överenskommelsen och från listan på Privacy Shield-företag.

De organisationer som tar del av Privacy Shield överenskommelsen borde följa avtalets principer i såväl insamlingen som behandlingen av information. Till principerna hör bland annat följande:

  1. Den insamlade information får enbart användas till det syfte som de ursprungligen ämnats för samt till det användningsområde som den registrerade gett sitt samtycke till;
  2. Den som samlar in informationen borde försäkra sig om att de insamlade uppgifterna är korrekta och uppdaterade;
  3. Den som samlar in informationen skall försäkra sig om att uppgifterna är skyddade mot eventuella risker i att informationen försvinner, används olovligt eller förändras;
  4. Om informationen förflyttas till någon behandlare som inte tar del av överenskommelsen borde den som överför informationen försäkra sig om att informationen också i fortsättningen kommer att omfattas av samma skyddsnivå som tidigare;
  5. Den som samlar in data har också ett objektivt ansvar i de fall där insamlingen, sparandet och behandlingen av informationen görs av någon annan i företagets ställe och där underleverantörens verksamhet inte når upp till den nivå som man kommit överens om i överenskommelsen; och
  6. Organisationerna måste informera de registrerade om flera centrala punkter gällande behandlingen av personuppgifter (såsom vilken information som samlas in och i vilket syfte som uppgifterna behandlas). Den registrerade har dessutom rätt att inom en rimlig tid få veta om organisationen ifråga behandlar dennes uppgifter.

Dessutom har man tagit fram ett flertal problemlösningsmetoder för EU-medborgare. De här metoderna har skapats med tanke på situationer där medborgaren anser att dennes uppgifter använts på ett felaktigt sätt. Problemlösningens främsta alternativ handlar om att ge en anmärkning till organisationen som omfattas av överenskommelsen. Dessutom har medborgarna en möjlighet att få sin sak behandlad genom den nationella dataskyddsmyndigheten hos en Privacy Shield-panel som består av en på tre medlare som valts ut utgående från överenskommelsen. Besluten som den här panelen tar är bindande och kan verkställas av domstolarna i USA. Den här panelen har skapats enbart som skydd för medborgarna, vilket innebär att varken företag eller organisationer kan få sina ärenden behandlade av panelen.

Genom överenskommelsen begränsade man också väsentligt möjligheterna för myndigheterna i USA att massövervaka data. Det här var också något som man ansåg vara problematiskt i föregångaren till Privacy Shield, det vill säga Safe Harbor och också grunden till att man avslutade Safe Harbor överenskommelsen. I det nya systemet ingår därför också ett oberoende ombud. Dennes uppgift är att uttryckligen hjälpa EU-medborgare som vill ifrågasätta datasökningar som gjorts med hänvisning till den nationella tryggheten i USA.