Radar · Integritet

Datainspektionen granskar företag som överför data till USA

Datainspektionen granskar nu om svenska företag i sina överföringar av personuppgifter till USA har brutit mot lagen.

Datainspektionen har nyligen inlett en granskning som rör överföringar av personuppgifter från svenska företag till USA. Detta efter klagomål från intresseorganisationen None of you business (NOYB).

Under torsdagen uppgav datainspektionen att sex tillsyner har inletts mot svenska företag efter att intresseorganisationen None of your business har lämnat in klagomål om att företagen, i strid med lagen, för över personuppgifter till USA.

NOYB har lämnat in ett hundratal klagomål riktade mot olika företag i flera europeiska länder och granskningarna som rör de svenska företagen sker inom ramen för den arbetsgrupp som Europeiska dataskyddsstyrelsen (EDPB) har inrättat för att hantera samtliga klagomål från NOYB.

– Genom att ta ett gemensamt grepp kring dessa klagomål i den arbetsgrupp som EDPB inrättat säkerställs enhetliga bedömningar, likabehandling och effektiv handläggning, säger juristen Olle Pettersson som är ansvarig för de svenska tillsynsärendena på datainspektionen, i ett pressmeddelande.

"Privacy shield" otillräcklig

Tidigare var det enligt beslut från EU-kommissionen tillåtet för företag i EU att överföra personuppgifter till mottagare i USA som anslutit sig till ”Privacy shield”, ett system för självcertifiering som amerikanska företag kan ansluta sig till genom att meddela det amerikanska handelsdepartementet att man uppfyller de krav som ställs.

Men i juli meddelade EU-domstolen, i samband med det så kallade Schrems II-målet, att Privacy shield-avtalet mellan EU och USA inte ger ett tillräckligt skydd för personuppgifter som förs över till USA.

Nya rekommendationer 

Företag i EU kan däremot vid överföring av personuppgifter till länder utanför EU och EES använda sig av standardavtalsklausuler. Men för att detta ska vara tillräckligt krävs det att mottagarlandet genom sin lagstiftning eller praxis kan tillförsäkra om en likvärdig skyddsnivå för uppgifterna. I annat fall krävs ytterligare skyddsåtgärder, enligt domstolen.

EDPB har nyligen publicerat rekommendationer om vilka skyddsåtgärder som kan tänkas användas för att skydda uppgifterna vid överföring till tredje land. Rekommendationerna innefattar också kriterier som tydliggör under vilka omständigheter överföring inte är möjlig. Men det är alltså ännu oklart om företagen som nu granskas har vidtagit tillräckliga åtgärder i enlighet med de nya rekommendationerna.