Åter tillåtet att behandla personuppgifter i USA?

Den 10 juli 2023 meddelade EU-kommissionen ett nytt beslut om adekvat skyddsnivå för överföring av personuppgifter baserat på det transatlantiska ramverket EU-US Data Privacy Framework (”DPF”) som har ingåtts mellan EU och USA.  Beslutet innebär att USA numera anses erbjuda ett skydd likvärdigt det som ges inom EU avseende de registrerade och deras personuppgifter. I praktiken innebär detta att bolag och organisationer inom EU numera får överföra personuppgifter till amerikanska bolag och organisationer som har anslutit sig till och blivit certifierade under DPF utan att exempelvis behöva förlita sig på EU-kommissionens standardavtalsklausuler i kombination med kompletterande skyddsåtgärder. Certifikatet under DPF innebär att den anslutna organisationen har åtagit sig att följa de riktlinjer som återfinns i DPF, och ramverket i sig kommer att administreras och överses av den amerikanska myndigheten US Department of Commerce.

De åtgärder som USA har vidtagit för att erbjuda ett tillräckligt skydd för de registrerade är bland annat att amerikanska underrättelsetjänsters möjlighet att begära åtkomst till EU-medborgares personuppgifter numera är begränsad till vad som är nödvändigt och proportionerligt för att skydda den nationella säkerheten, samt att det har inrättats en självständig domstol (Data Protection Review Court) dit den registrerade kan klaga om denne har fått sina personuppgifter utlämnande till en amerikansk underrättelsemyndighet.

Det åligger fortfarande ett ansvar hos organisationen inom EU som överför personuppgifterna att säkerställa att den mottagande organisationen i USA faktiskt innehar ett certifikat under DPF. Ni hittar certifierade organisationer här: https://www.dataprivacyframework.gov/s/participant-search. Om den mottagande amerikanska organisationen är med i listan och har ett certifikat under DPF, får tredjelandsöverföringen ske utan några ytterligare eller kompletterande skyddsåtgärder.

EU-kommissionens adekvansbeslut med anledning av DPF ska revideras regelbundet av EU-kommissionen tillsammans med bland annat företrädare från europeiska dataskyddsmyndigheter och relevanta amerikanska myndigheter. Den första utvärderingen av beslutet ska ske ett år efter dess ikraftträdande i syfte att säkerställa att de åtgärder som angetts i ramverket har implementerats och fungerar effektivt i praktiken.

Även intresseorganisationen none of your business (”NOYB”) som var drivande i ogiltighetsförklaringarna av de tidigare transatlantiska ramverken mellan EU och USA – Safe Harbor-avtalet och Privacy Shield-avtalet – har kritiserat DPF och har publikt gått ut med att de vid behov återigen kommer att utmana EU-kommissionens adekvansbeslut. Vi håller oss i dessa avseenden löpande uppdaterade av rättsutvecklingen.

Vilka åtgärder behöver svenska verksamheter vidta?

EU-kommissionens adekvansbeslut med anledning av DPF föranleder flera förändrade krav på svenska bolag och organisationer. Vi rekommenderar därför en översyn av er dokumentation och era policys.

Följande åtgärder betraktar vi som prioriterade:

  • Varje verksamhet bör kartlägga vilka amerikanska organisationer som mottar personuppgifter genom tredjelandsöverföringar, samt kontrollera och säkerställa att samtliga amerikanska mottagare innehar ett certifikat under DPF.
  • Varje verksamhet bör upprätta en intern rutin om regelbundna och löpande kontroller avseende giltigheten av amerikanska organisationers certifikat under DPF.
  • Varje verksamhet bör se över och justera deras integritetspolicy för att ta höjd för de nya förändringarna som DPF innebär för tredjelandsöverföringar.
  • Varje verksamhet bör se över och justera deras personuppgiftsbehandlingsregister för att denna ska reflektera den nya överföringsmekanismen som DPF innebär.

Advokatfirman MarLaw bistår med översyn och nödvändiga uppdateringar av era integritetspolicys vid behov, ta i så fall en kontakt med oss här.

Idag den 1 september 2022 träder lag om ändring i marknadsföringslagen (2008:486) (2022:656) i kraft. En rad nya och ändrade bestämmelser ändrar taket för marknadsstörningsavgift, förtydligar innebörden av otillbörlig marknadsföring och introducerar nya åtgärder vid marknadsstörningar.

Vad gäller de nya marknadsföringsreglerna?

Från och med idag införs ett högre tak för sanktionsavgifter, nya tuffare krav på prissättning och kampanjer och nytillkomna sanktionsåtgärder vid marknadsstörningar. Det nya taket för sanktionsavgifter kan nu uppgå till 4 % av ett bolags årsomsättning föregående år. Affärsriskerna för ett bolag kan därmed bli omfattande vid överträdelser. Företag måste kunna visa att man tillämpat ett pris i minst 30 dagar för att utgå från det priset när en prissänkning marknadsförs. Det införs även krav på tydligare information kring konsumentrecensioner och erbjudanderankningar.

Varför genomförs ändringarna?

EU-kommissionen har blivit varse genom undersökningar att tidigare lagstiftnings inte har lett till önskad efterlevnad hos marknadens aktörer. De nu höjda sanktionerna är ämnade att ha en avskräckande effekt och därmed öka efterlevnaden. Dessutom fanns ett behov av modernisering av lagstiftningen av andra skäl, framförallt gällande digital kommunikation. Exempel på åtgärder inom det området är kraven kring prisinformation och krav på tydligare information gällande konsumentrecensioner. På en global marknad tjänar den typen av rekommendationer, från främlingar som är intresserade av samma produkt eller tjänst, närmast som ett substitut för en personlig rekommendation. Den typen av recensioner kan alltså antas påverka konsumenternas beslut, och det avspeglas i den nya lagstiftningen.

Vilka är de mest centrala åtgärderna att fokusera på för företag som riktar sig till konsumenter?

Marknadsföring är ett viktigt complianceområde där det bör säkerställas att företagets marknadskommunikation följer aktuell lagstiftning. Har företaget inte kapacitet internt att möta de nya kraven är det att rekommendera att snarast ta hjälp att inrätta eller uppdatera de befintliga rutinerna för att undvika onödiga affärsrisker och, i förlängningen, kostnader.

Läs mer om ändringarna i marknadsföringslagen här.