Den 10 juli beslutade EU-kommissionen att införa en ny adekvat skyddsnivå för USA gällande GDPR. Skyddsnivån kallas ”EU-US Data Privacy Framework” och innebär att det återigen är ok att skicka personuppgifter mellan EU och USA givet att de amerikanska företagen har certifierat sig enligt ramverket. 

I princip alla Naturkartans leverantörer är certifierade enligt ramverket, vilket gjort tjänsten i princip helt GDPR-kompatibel över en natt. Men målet att bli helt EU-baserad till årsskiftet ligger ändå fast, då EU-domstolen kan komma att ogiltigförklara ramverket redan nästa år. 

Innan EU-US Data Privacy Framework klubbades igenom har det i princip varit förbjudet att föra över personuppgifter till mottagare utanför EU/EES, om inte något av undantagen i GDPR artikel 49 varit uppfyllda. Till exempel om EU-kommissionen fattat beslut om en adekvat skyddsnivå för mottagarlandet eller om lämpliga skyddsåtgärder vidtagits enligt artikel 45 och 46. 

EU och USA har ju förvisso träffat liknande överenskommelser under årens lopp, däribland “Safe Harbour” år 2000 och “Privacy Shield” år 2016, allt för att underlätta överföringar av personuppgifter, men båda har skjutis ner av EU-domstolen i de sk “Schrems-målen”. 

Särskilt Schrems II-domen gjorde det som bekant mycket svårt för EU-baserade företag att fortsätta använda amerikanska tjänsteleverantörer, vilket har fått ödesdigra konsekvenser för företagens verksamheter.

Sedan dess har flera europeiska dataskyddsmyndigheter satt dit ett antal företag för olagliga överföringar till USA. Och så sent som en vecka innan EU-US Data Privacy Framework började gälla, utförde Integritetsskyddsmyndigheten (IMY) tillsynsbeslut mot fyra svenska bolag för att de använde Google Analytics och således överförde personuppgifter till USA utan adekvata skyddsåtgärder. IMY utfärdade sanktionsavgifter mot två av företagen. Ett av företagen slutade genast att använda tjänsten, och de övriga tre uppmanades att sluta använda tjänsten. 

Men nu har alltså förutsättningarna ändrats igen, vilket återigen gjort det möjligt för företagen att använda Google Analytics då Google LLC certifierat sig enligt ramverket i fråga.  

EU-US Data Privacy Framework innebär alltså att EU-baserade företag kan använda de amerikanska leverantörer, som är anslutna till ramverket genom självcertifiering, och som därmed åtagit sig att följa de dataskyddsskyldigheter, som sammantaget ger den adekvata skyddsnivå som krävs för att skydda de personuppgifter som är föremål för överföring till sådana företag. Således behöver varken ytterligare skyddsåtgärder vidtas eller en Transfer Impact Assessment genomföras, och därmed har ramverket avhjälpt de brister i amerikansk rätt som uppmärksammats av EU-domstolen i Schrems II-målet. 

För att göra det lite enklare för alla inblandade att förstå och hantera ramverket, har USA:s handelsdepartement (U.S. Department of Commerce) lagt upp denna hemsida, med en lista över alla organisationer som hittills anslutit sig till ramverket. 

Naturkartan GDPR-kompatibel med nya EU-US Data Privacy Framework

Alla Outdoormap AB’s US-baserade leverantörer (utom mapbox) finns med på den listan, och är således anslutna till ramverket, vilket gjort Naturkartan nära nog helt GDPR-kompatibel över en natt. 

Men situationen är alltjämt osäker, då EU-domstolen har en tendens att reagera negativt på dessa överenskommelser, varför en Schrems III-dom är att vänta, kanske inte i år, men troligtvis under år 2024. 

Skeptiska intresseorganisationer som None of Your Business (NOYB), har redan uttryckt kritik och menar att ramverket bara är en kopia av Privacy Shield. Värt att tillägga är att EU-kommissionen (i samverkan med europeiska och amerikanska myndigheter) löpande kommer att utvärdera huruvida ramverket fungerar i praktiken. 

Med det sagt, kommer Outdoormap AB (med tjänsten Naturkartan) fortsätta att arbeta för att bli helt EU-baserad och GDPR-kompatibel till årsskiftet, för det fall EU-domstolen återigen skulle förändra spelplanen med en eventuell Schrems III-dom.

Läs även tidigare inlägg: “Naturkartan siktar på att vara 100% GDPR-kompatibel innan årsskiftet”