Uppdatering 2020-07-16: EU-domstolen har ogiltigförklarat Privacy Shield vilket innebär att Privacy Shield numera inte kan användas som laglig grund för överföring av personuppgifter till USA (läs mer om detta här).
Privacy Shield är en överenskommelse om skydd för personuppgifter mellan EU och USA som träffades 2016. Överenskommelsen innefattar dels ett antal särskilda principer om hur personuppgifter som förs över från EU till USA ska hanteras, dels olika slags översynsmekanismer för att se till att principerna följs.
Företag i USA som vill ansluta sig till Privacy Shield ska anmäla till det U.S. Department of Commerce’s International Trade Administration (“ITA”) att de följer principerna och ITA ska upprätta och tillhandahålla en lista över dessa företag. Endast företag som finns med på ITA:s lista omfattas av EU-kommissionens beslut om adekvat skyddsnivå.
Mer information om Privacy Shield hittar du på EU-kommissionens webbplats.
Vad innebär Privacy Shield?
När ett företag har tagits upp på ITA:s lista anses företaget ha en adekvat skyddsnivå. Detta gör det tillåtet att föra över personuppgifter från en avsändare i ett EU-länd till USA.
Vilka har anslutit sig till Privacy Shield?
Du kan kontrollera om företaget har tagits upp på ITA:s Privacy Shield-lista på ITA:s webbplats.
Enskildas rättigheter
Privacy Shield innehåller en rätt för enskilda personer att begära information från amerikanska företag om vilka uppgifter som är under behandling, för vilka ändamål och av vem. Privacy Shield innehåller också en rätt att ge in klagomål till USA:s Federal Trade Commission eller till någon av EU-ländernas dataskyddsmyndigheter om man anser att personuppgifter behandlas felaktigt.
Personuppgiftsbiträdesavtal
Det ska alltid finnas ett skriftligt avtal mellan den personuppgiftsansvarige och personuppgiftsbiträdet. Detta gäller oavsett om den registrerade har samtyckt till tredjelandsöverföringen eller om mottagarlandet har beslut om adekvat skyddsnivå. Det är alltid den personuppgiftsansvarige som ansvarar för att avtalet finns. I avtalet ska det särskilt föreskrivas att personuppgiftsbiträdet får behandla personuppgifterna bara i enlighet med instruktioner från den personuppgiftsansvarige och att biträdet måste vidta de säkerhetsåtgärder som den personuppgiftsaansvarige ska vidta.
Mer information om när ett personuppgiftsbiträdesavtal är nödvändigt och vad det ska innehålla hittar du här.
Har du frågor?
Om du har funderingar kring tredjelandsöverföringar eller behöver hjälp med att upprätta personuppgiftsbiträdesavtal, rekommenderar vi att du kontaktar oss för en konsultation.