Det så kallade Schrems II-målet, EU-domstolens dom den 16 juli 2020 mellan Facebook (Meta) och intresseorganisationen None of Your Business (NOYB) medförde att det dåvarande ramverket mellan EU och USA upphävdes (Privacy Shield). Sedan dess har det funnits en stor osäkerhet avseende bl.a. användningen av sociala medier.
Vad innebär Data Privacy Framework?
Det senaste året har det pågått intensiva förhandlingar mellan EU och USA och i somras, den 10 juli 2023, publicerade EU-kommissionen det nya beslutet om adekvat skyddsnivå för överföring av personuppgifter till USA baserat på ”EU-US Data Privacy Framework” (DPF). Beslutet innebär att USA anses erbjuda ett tillräckligt skydd för de registrerade, likvärdigt det skydd som erbjuds inom EU, vid överföring av personuppgifter från EU till amerikanska bolag som anslutit sig till ramverket, utan att kompletterande skyddsåtgärder behövs vidtas. Överföring av personuppgifter till USA är därmed tillåten om mottagande organisation i landet har anslutit sig till ramverket.
De åtgärder som USA vidtagit för att erbjuda ett tillräckligt skydd för den registrerade är bl.a. att amerikanska underrättelsetjänsters möjlighet att begära åtkomst till EU-medborgares personuppgifter är begränsad till vad som är nödvändigt och proportionerligt för att skydda den nationella säkerheten, samt att det inrättas en självständig domstol (Data Protection Review Court) dit den registrerade kan klaga om denne fått sina personuppgifter utlämnande till en amerikansk underrättelsemyndighet.
Beslutet ska revideras regelbundet av EU-kommissionen tillsammans med bl.a. företrädare från europeiska dataskyddsmyndigheter och relevanta amerikanska myndigheter. Den första utvärderingen av beslutet ska ske ett år efter dess ikraftträdande i syfte att säkerställa att de åtgärder som angetts i ramverket har implementerats och fungerar effektivt i praktiken. NOYB är kritiska mot beslutet och har aviserat att det kan komma ett tredje mål som utmanar dvs. ett Schrems-III.
Kan vi använda sociala medier och samtidigt följa GDPR?
Data Privacy Framework innebär att det nu är tillåtet att använda amerikanska verktyg och tjänster som tillhandahålls av företag som anslutit sig till ramverket utifrån grunden att det är en tillåten personuppgiftsöverföring till USA. Google och Meta som står bakom bl.a. Facebook och Instagram har anslutit sig till ramverket.
Det är dock viktigt att komma ihåg att sociala medier och andra verktyg som behandlar personuppgifter måste utvärderas av organisationen utifrån principerna och grunderna i GDPR. Huruvida användningen är tillåtet utifrån att det är en överföring av personuppgifter till USA eller inte är ju endast en fråga som organisationen måste ta ställning till. En riskbedömning utifrån GDPR måste alltid göras och den måste dokumenteras. Dokumentationen måste finnas tillgänglig och ska kunna visas upp vid en eventuell granskning av Integritetsskyddsmyndigheten IMY.
Nyttjandet av kommunikationsverktyg ska därmed vara genomtänkt och dokumenterat.