Oversikt over EU - US Data Privacy Framework

Written By Ida Tho

Photo by Brandon Mowinkel on Unsplash

I voksenjobben min, var jeg for en tid tilbake nødt til å lese adekvansvurderingen til USA. Du vet det (nye) overføringsgrunnlaget for personopplysninger fra EU/EØS til USA.

Aka EU - US Data Privacy Framework.

Aka the Bain of My Existance! Kjært barn har som kjent mange navn.

Hele adekvansvurderingen er på 134 sider. Det er en liten bok. Det tok tid.

Jeg har en tendens til å bare starte å lese, og så brenne meg litt ut. Så la meg dele mitt beste tips hvis DU også vil lese den: få oversikt over hva den egentlig inneholder. Dette virker selvsagt, men jeg glemmer det ofte.

Så la meg gi deg den oversikten her og poengter hva som er viktigst at du leser og setter deg inn i hvis du skal lese adekvansvurderingen:

Det du ser fra figuren ovenfor er for det første at det er to versjoner av Annex 1. Jepp, jeg har sjekket dette MANGE ganger. Jeg tror det er en feil. Det gir lite mening. I know.

Det andre du ser fra figuren ovenfor er at det dokumentet som her «Commission Implementing Decision of 10.7.2023 pursuant to Regulation (EU) 2016/679 of the European Parliament and of the Council on the adequante level of protection of personal data under the EU-US Data Privacy Framework» består av flere ting.

Og mange av de tingene er ikke egentlig relevant. F.eks. har EU-kommisjonen lagt ved en rekke brev fra amerikanske myndigheter som forklarer deler av endringer i forvaltningens tilsyn med etterretningsvirksomhetenes overvåkning.

Men la oss se på de to tingene som jeg tror er mest relevant for deg hvis du skal lese den:

1 Annex 1

Annex 1 til EU – U.S. Data Privacy Framework Principles er selve rammeverket som amerikanske virksomheter som vil sertifiseres må overholde.

Det er en slags mini-versjon av GDPR, med tilpasset innhold og til et formant som amerikanske virksomheter kan overholde. Og det er skrevet av det amerikanske handelsdepartementet.

Hvis du vil vite hvilke krav som amerikanske virksomheter må leve opp til, er det denne delen du leser.

2 Fortalen

The Commission Implementing Decision (eller det jeg har kalt fortalen) er selve adekvansvurderingen. Men selve adekvansvurderingen kommer ikke før i punkt 3 «Access and use of personal data transferred from the European Union by Public Authorities in the United States».

Det er her EU-kommisjonen vurderer hvorfor de nå er sikkert å overføre personopplysninger til USA. Der de går gjennom alle endringer i amerikansk etterretningslovgivning som har skjedd siden Schrems II, og hvorfor disse er gode nok til at europeiske borgere nå får til tilsvarende personvern i USA som i EU/EØS hvor GDPR gjeder.

Hvis du ønsker å forstå de endringene i amerikansk etterretning som nå gjør at EU-kommisjonen mener det er trygt å overføre personopplysninger til USA, er det denne deler du leser.

Det er også denne delen du leser hvis du lurer på hvorfor EU-kommisjonen har kommet til at amerikanske etterretningsmyndigheters og politimyndigheters adgang til innsyn i dine personopplysninger som EU/EØS-borger, er et lovlig inngrep i ditt personvern, og ikke et brudd.

Når jeg sier at «det nå er sikkert å overføre personopplysninger til USA», mener jeg at EU-kommisjonen mener det er sikkert å overføre, FORUTSATT at du overfører personopplysningene til en virksomhet som er sertifisert etter det nye rammeverket.

Jeg vet du vet dette, men jeg sier det likevel.

Ja, jeg vet det er en yrkesskade å ta denne typen forbehold! 


Denne bloggposten er basert på nyhetsbrevet mitt om personvern. Driver du med personvern og kunne tenke deg støtte i form av et ukentlig nyhetsbrev? Meld deg på her!

Ida Tho
Previous

Tre ting jeg har innsett om tredjelandsvurderinger

Next

Mitt beste DPIA-tips? Å spørre de registrerte om hva de mener, her er hvordan!