GDPR: Privacy Shield förklarats ogiltigt – vad gör vi?

Den 16 juli lämnade EU-domstolen sin dom i det s.k. Schrems II-målet. Frågan handlade om Facebook fick lämna ut användaren Max Schrems personuppgifter till USA. Genom domen blev Privacy Shield – den mellanstatliga överenskommelse mellan EU och USA om utlämning av personuppgifter – ogiltig med omedelbar verkan.

Ni bör därför kontrollera att ni inte använder Privacy Shield som grund för överföring av personuppgifter till USA i er personuppgiftspolicy eller era personuppgiftsbiträdesavtal. I så fall behöver det ändras.

EU-domstolen menar att EU-kommissionens standardavtalsklausuler sannolikt kan fungera som alternativ, om de klausulerna tillsammans med övriga omständigheter innebär att en adekvat skyddsnivå kan uppnås.

Standardavtalsklausulerna mellan personuppgiftsansvarig och personuppgiftsbiträde kan ni hitta här, på såväl engelska som svenska (i bilagan till dokumentet). De får inte ändras, så det är bara att använda dem så som de är skrivna och lägga till beskrivning av den personuppgiftshantering som är aktuell i ert fall och därefter se till att era amerikanska partners signerar dem, eftersom ni inte längre kan luta er mot Privacy Shield för överföringen till USA.

Det är dock inte säkert att ni behöver ändra något i er personuppgiftspolicy eller i ert personuppgiftsbiträdesavtal. Om Privacy Shield bara tas upp som ett exempel på sätt att uppnå adekvat skyddsnivå vid överföring till tredje land, så är det inte nödvändigt att ändra.

Till exempel om det står så här på engelska:

”transfer … for example by using the European Commission’s standard contractual clauses or in accordance with the Privacy Shield Framework.”

Och så här på svenska:

”överföra personuppgifter till tredje land … genom att till exempel använda europeiska kommissionens standardavtalsklausuler eller Privacy Shield.”

Hör av er om ni har frågor om detta!