Adekvat skyddsnivå
När EU-kommissionen fattar beslut om adekvat skyddsnivå tittar de bland annat på landets lagar och internationella åtaganden, vilka möjligheter den registrerade har att få rättslig prövning och om landet respekterar de mänskliga rättigheterna och de grundläggande friheterna. EU-kommissionen kontrollerar också att det finns oberoende tillsynsmyndigheter som ansvarar för att dataskyddsreglerna följs och som kan hjälpa de registrerade.
Obs! Till skillnad från i personuppgiftslagen finns det inte utrymme för den personuppgiftsansvariga att själv avgöra om det finns en adekvat skyddsnivå eller inte. Det är bara EU-kommissionen som kan fatta ett sådant beslut.
Länder med adekvat skyddsnivå
EU-kommissionen har fattat beslut om att skyddsnivån i dessa länder är adekvat, det vill säga tillräckligt hög enligt dataskyddsförordningen:
- Andorra
- Argentina
- Bailiwick of Guernsey
- Färöarna
- Isle of Man
- Israel
- Japan
- Jersey
- Nya Zeeland
- Schweiz
- Storbritannien
- Sydkorea
- Uruguay
Dessutom har EU-kommissionen bedömt att skyddsnivån är adekvat på vissa områden eller under särskilda villkor i följande länder:
- Kanada, om deras lagstiftning för skydd av personuppgifter i privat sektor är tillämplig på mottagarens personuppgiftsbehandling.
EU-kommissionens lista över länder med adekvansbeslut
Privacy shield är ogiltigförklarat och kan inte längre användas – nya förhandlingar pågår
EU-domstolen slog i juli 2020 fast att Privacy Shield-avtalet mellan EU och USA inte ger ett tillräckligt skydd för personuppgifter när dessa förs över till USA. Ogiltigförklarandet av Privacy Shield innebär att det inte längre är tillåtet för personuppgiftsansvariga i EU att med Privacy Shield som grund överföra personuppgifter till mottagare i USA.
Europeiska dataskyddsstyrelsen (EDPB) prioriterar att ge vägledning i denna fråga och har publicerat följande uttalande:
Statement on the Court of Justice of the European Union Judgment in Case C-311/18
EDPB har även antagit rekommendationer om ytterligare skyddsåtgärder vid användning av exempelvis standardavtalsklausuler som stöd för överföringen:
Rekommendationer 01/2020 om ytterligare åtgärder för att tillförsäkra att EU:s nivå av skydd för personuppgifter upprätthålls
Mer om Schrems II-domen och överföringar till tredjeland
Det pågår för närvarande förhandlingar mellan EU-kommissionen och USA om en ersättare till Privacy Shield. Den 25 mars 2022 meddelades att parterna träffat en principöverenskommelse om ett nytt transatlantiskt ramverk för skydd för personuppgifter, Trans-Atlantic Data Privacy Framework. EDPB har uttalat sig om principöverenskommelsen – som är ett steg i processen att ta fram ett beslut om adekvat skyddsnivå.
EDPB:s uttalande om principöverenskommelsen
IMY:s pressmeddelande om EDPB:s uttalande
En begäran under US CLOUD Act om utlämnade av personuppgifter till amerikansk myndighet
EDPB och EDPS har i ett svar till EU-parlamentet analyserat vilka möjligheter en personuppgiftsansvarig har att följa en begäran om utlämnande av personuppgifter till amerikansk, brottsbekämpande myndighet under US CLOUD Act.
Dataskyddsförordningen ställer särskilda krav på adekvat skyddsnivå vid överföring till tredjeland. Privacy Shield var tidigare en vanlig skyddsåtgärd som användes vid överföring till USA. Endast företag kunde ansluta sig till Privacy Shield. US CLOUD Act är en ensidigt stiftad nationell lag i USA och eftersom Privacy Shield inte kan användas som skyddsåtgärd ser EDPB mycket begränsade möjligheter för en personuppgiftsansvarig i EU att följa en direktbegäran från en amerikansk myndighet.
Du kan läsa hela analysen hos EDPB:
The impact of the US Cloud Act on the European legal framework for personal data protection