Artikeln i korthet:
- 10 juli fastslog EU-kommissionen att Data Protection Framework (DPF) uppnår adekvat skyddsnivå.
- Bolag och organisationer i USA med DPF-certifiering får hantera personuppgifter från EU.
- På webbplatsen för DPF (dataprivacyframework.gov) kan organisationer självcertifiera att DPF-reglerna efterlevs.
- DPF liknar GDPR, bl.a. med att kräva möjlighet att tacka nej till hanteringen av personuppgifter för icke-nödvändiga ändamål.
Vad är Data Privacy Framework (DPF)?
Data Privacy Framework (förkortat DPF) är ett USA-initierat, multinationellt program där organisationer kan certifiera att deras datahantering efterlever gällande lagstiftning i EU (dvs. Dataskyddsförordningen/GDPR), Storbritannien och Schweiz. DPF är ett program som tagits fram mellan amerikanska Department of Commerce and respektive motsvarande organ i EU, Storbritannien och Schweiz.
Huvudsyftet med DPF är att amerikanska företag ska kunna certifiera att deras integritetspolicyer är förenliga med lagar och förordningar i land som organisationerna hanterar personuppgifter från.
Varför behövs DPF?
Bakgrunden till DPF börjar med den omtalade Schrems II-domen från 2020. I domen ogiltigförklarades skyddet från den dåvarande överenskommelsen för adekvata integritetsskyddsåtgärder mellan EU och USA – det så kallade Privacy Shield-programmet. Privacy Shield ansågs av EU-domstolen inte vara tillräckligt. Efter Schrems II har mycket varit oklart både inom och utanför EU, gällande exempelvis vilka bolag som lagrar information och hur/var/när data transporteras och krypteras. Framför användningen av tjänster från stora aktörer inom IT, exempelvis Microsoft, Meta och Google, har varit ett osäkert alternativ.
I oktober 2022 skrev amerikanska presidenten Joe Biden under dekret 14086 (”Enhancing Safeguards for United States Signals Intelligence Activities”). Statssekreteraren för kommers gjorde sedan ett uttalande om hur dekretet skulle implementeras i DPF. Detta gjorde att DPF då hade en utformning som åtgärdade de brister som EU-domstolen pekade ut i Privacy Shield.
EU-kommissionen kunde då med DPF, dekret 14086 och övrig dokumentation fastslå att DPF hade adekvat skyddsnivå. Detta sammantaget öppnade dörren för personuppgiftshantering i USA med uppgifter från EU, för DPF-certifierade organisationer. Data Privacy Framework är således en brygga mellan amerikanska bolag och GDPR, och en välkommen lösning för att kunna nyttja tjänster och produkter inom EU som erbjuds av internationella leverantörer.
För mer information om Schrems-domarna, läs vår artikel.
När började DPF gälla?
EU-kommissionen fastslog den 10 juli 2023 att DPF uppnår så kallad adekvat skyddsnivå (på engelska ”adequacy decision”). Det innebär att 10 juli är dagen som DPF officiellt började gälla.
En vecka efter godkännandet, alltså från den 17 juli, så kan organisationer besöka dataprivacyframework.gov för att själva certifiera att de uppfyller integritetskraven. Detta gäller för amerikanska bolag som hanterar personuppgifter från EU/Storbritannien/Schweiz, men även vice versa. Organisationer i t.ex. EU kan alltså också certifieras på DPF-sidan för att verifiera att de hanterar personuppgifter från USA enligt DPF-reglerna.
Vad innebär DPF för personuppgiftshantering?
Alla uppgifter som får behandlas enligt GDPR får även behandlas under DPF.
Eftersom DPF i praktiken är en förlängning av GDPR så gäller samma eller motsvarande regler för personuppgiftsbehandling, även om uppgifterna lämnar EU. Till exempel:
- DPF använder definitionen av ”personuppgift” som finns i GDPR, och har motsvarande GDPR:s definition av (personuppgifts-)hantering.
- Enligt DPF måste certifierade organisationer erbjuda individer möjligheten att välja bort (opt-out) att personuppgifter ska skickas till tredje part eller om personuppgifter ska användas för fler syften än varför de först inhämtades. Gällande känsliga personuppgifter så måste individen godkänna att inhämtning sker (opt-in).
- När uppgifter inte längre behöver lagras i originalsyftet för inhämtningen så måste de raderas.
- Organisationer måste på DPF-hemsidan ha uppgifter, inklusive e-postadress och telefonnummer, till en så kallad data controller, eller på svenska registeransvarig, (motsvarande rollen dataskyddsansvarig/data protection officer som krävs av GDPR). Den registeransvarige måste ingå i ett kontrakt som garanterar att organisationen behandlar uppgifter enligt anvisningar och att organisationen har adekvat dataskydd. Dessutom ska organisationens integritetspolicy finnas bifogad på DPF-sidan.
Värt att notera är att domstolar i USA genom EU-USA DPF-överenskommelsen kan begära ut personuppgifter från EU. Dock så ska endast information lämnas som är nödvändig och proportionerlig (”necessary and proportionate”) för upprätthålla nationell säkerhet.
För att läsa mer om GDPR och definitioner av personuppgifter så rekommenderar vi den här artikeln. Notera dock att visst innehåll i den länkade artikeln delvis föråldrats i och med DPF.
Vilka rättigheter har individer vars personuppgifter hanteras?
Data privacy framework-hemsidan uppger att företag som certifierats av DPF-programmet bland annat måste tillhandahålla punkterna nedan. Punkterna har översatts från originaltexten på engelska.
- Information om vilka typer av personuppgifter som samlas in.
- Information om syftet med insamling och användning.
- Information om typen av eller identiteten på tredje parter till vilka dina personuppgifter lämnas ut.
- Valmöjligheter för att begränsa användning och utlämnande av dina personuppgifter.
- Tillgång till dina personuppgifter.
- Meddelande om organisationens ansvar om den överför dina personuppgifter.
- Meddelande om krav på att lämna ut personuppgifter baserat på förfrågning från offentlig myndighet.
- Rimlig och lämplig säkerhet för dina personuppgifter.
- Svar på klagomål inom 45 dagar.
- Kostnadsfri oberoende tvistlösning för att hantera dina problem med dataskydd.
- Möjligheten att åberopa bindande skiljeförfarande för att hantera klagomål om att organisationen har brutit mot sina skyldigheter enligt DPF-principerna gentemot dig och som inte har lösts på annat sätt.
Vad händer om företag inte följer DPF?
För företag som konstaterats bryta mot reglerna i DPF så riskeras påföljder från amerikanska Federal Trade Commission (FTC), vilka förbjuder ”unfair or deceptive acts in or affecting commerce” (15 U.S.C. §45). Om en utredning konstaterar misstanke om felaktigheter måste detta anmälas av den berörda organisationen, annars riskeras påföljder enligt den amerikanska False Statements Act (18 U.S.C. § 1001).
Eskalering till FTC kan däremot enbart ske om en DPF-certifierad organisation upprepade gånger upptäckts bryta mot vad som anges i DPF-programmet. Ordet ”upprepade” (eller som i originaltexten på engelska ”persistent”) är avgörande, och uppstår när oberoende utredningar eller myndigheter repeterade gånger konstaterar att organisationen inte följer DPF-regelverket.
På hemsidan dataprivacyframework.gov finns även en lista över inaktiva organisationer. En organisation klassas som inaktiv om certifikatstiden löpt ut och inte förnyats, om de frivilligt tagit bort sin certifiering eller om de konstaterats bryta mot DPF-reglerna. Vid konstaterat regelbrott eller inaktiv certifiering så slutar organisationen omfattas av möjligheten till personuppgiftshantering enligt DPF, mellan USA och EU, och/eller Storbritannien, och/eller Schweiz.
Kort sagt, enbart organisationer med aktiv certifiering får ta emot och behandla personuppgifter från EU.
Vilka organisationer är DPF-medlemmar?
21 augusti 2023 har totalt 2482 organisationer certifierats som aktiva DPF-medlemmar. Samma datum finns 3754 inaktiva organisationer noterade.
Exempel på stora organisationer med aktiva DPF-certifieringar är
- Microsoft Corporation
- Amazon.com, Inc.
- Google LLC
- Salesforce
- Meta Platforms, Inc.
Detta innebär alltså att personuppgifter från EU får transporteras till USA om de hanteras av ovan bolag och övriga organisationer med aktiv certifiering. Frekventa diskussioner förekom om bland annat Microsoft Teams och huruvida användning är i linje med GDPR, samt huruvida data stannar inom EU. Men med DPF så får data hanteras och transporteras även utanför EU.