Privacy Shield är en mekanism för självcertifiering som finns i USA. Det innebär att företag i USA kan anmäla sig till det amerikanska handelsdepartementet (Department of Commerce) och meddela att de uppfyller de krav som ställs i Privacy Shield. Enligt ett beslut från EU-kommissionen har det varit tillåtet för personuppgiftsansvariga i EU att överföra personuppgifter till mottagare som har anslutit sig till Privacy Shield.
EU-domstolen dom i det så kallade Schrems II målet påverkar personuppgiftsansvariga inom hela EU. Överföring av personuppgifter till USA är inte längre möjligt med stöd av Privacy Shield. Domstolen ansåg däremot att Kommissionens beslut om standardavtalsklausuler är giltigt och att sådana kan användas vid överföring till länder utanför EU och EES men att det kan behövas ytterligare skyddsåtgärder.
Domen medför konsekvenser och kräver åtgärder för att personuppgiftsansvariga inte ska riskera att bryta mot dataskyddsförordningen. Enligt Datainspektionens rekommendationer Länk till annan webbplats. ska en inventering av tredjelandsöverföring genomföras. Denna rutin ämnar att förenkla och förtydliga processen för inventering av tredjelandsöverföring.
Personuppgiftsansvariga ansvarar för att dataskyddsförordningen efterlevs i deras organisation. I kommunerna är nämnderna personuppgiftsansvariga. Varje nämnd representeras av ett Kontaktombud. Därmed ska respektive Kontaktombud se till att Dataskyddsförordningen efterlevs i sin förvaltning. Det sagt, kan Kontaktombudet delegera inventeringsuppgiften fritt inom sin förvaltning för att kunna identifiera alla behandlingar.
- Anställda
- Anställda vid kommunala bolag som har IT-tjänst från SML-IT
- Annan: Kontaktombud/personuppgiftsansvariga
Rutinen kan användas vid behov av identifiering av tredjelandsöverföring.
Europeiska Dataskyddsstyrelsen (EDPB) fastslår att det inte bara är själva lagringsplatsen som är avgörande om tredjelandsöverföring sker. Det är inte bara när uppgifter faktiskt flyttas till tredjeland och lagras där som reglerna om tredjelandsöverföringar blir aktuella, utan även när någon ges tillgång (åtkomst vid service/underhåll/felsökning) från tredjeland.
I utförandet av denna rutin ska följande frågor besvaras:
Privacy Shield var inte den enda tillämpliga grunden. Andra grunder kan exempelvis vara:
All dokumentation över personuppgiftsbehandlingar i tredje land ska, precis som all annan information om personuppgiftsbehandling, dokumenteras i respektive kommuns centrala register över personuppgiftsbehandlingar.