EU-kommissionen har beslutat att det är ok att överföra personuppgifter till USA efter en ny överenskommelse mellan unionerna. Detta gäller endast USA-företag som certifierat sig under det nya ramverket.
Personuppgifter får enligt GDPR överföras till länder utanför EU/EES där EU-kommissionen har fattat beslut om att landet i fråga har en adekvat skyddsnivå för personuppgifterna som motsvarar GDPR. EU-domstolen slog dock fast, genom Schrems II-domen, att USA inte kunde anses ha en sådan adekvat skyddsnivå, inte heller kunde användningen av amerikanska verktyg för webbanalys godkännas. Höga sanktionsavgifter har utfärdats till företag som överförde data till USA eller använde Google Analytics i sina verksamheter då verktyget inte ansågs uppfylla krav om tillräckligt skydd för personen.
EU-U.S Data Privacy Framework
Den 10 juli 2023 kom beslut från EU-kommissionen att det är ok att överföra personuppgifter till USA efter ny överenskommelse mellan unionerna. Genom EU-U.S Data Privacy Framework kan amerikanska företag och organisationer välja att certifiera sig under det nya ramverket. USA har inte en federal personuppgiftslag och av den anledningen måste ett amerikanskt företag därmed förbinda sig under ramverket genom certifiering hos Amerikanska Handelsdepartementet och på så vis uppfylla EU-rättens krav på ett motsvarande skydd i USA. Observera att detta enbart gäller för företag som anslutit sig till certifieringen.
Google Analytics 4 – verktyg för webbanalys
Verktyg för webbanalys, såsom Google Analytics, används för att samla in information om besökare till den egna webbsidan som lagras i cookies. När all information om webbadressen, HTML-titeln, webbplatsen, operativsystem, skärmupplösning, språkinställningar, datum, tid samt användarens IP-adress kombineras, kan en detaljerad profil skapas och göra uppgifterna personligt identifierbara. Då tidigare versioner av verktyget inte anses uppfylla krav om tillräckliga tekniska skyddsåtgärder har Google tagit fram en version 4 som möta kraven i GDPR. Efter överenskommelse om EU-U.S Data Privacy Framework och beslut från EU-kommissionen den 10 juli 2023 möter nu Google Analytics version 4, kraven i Dataskyddsförordningen.
Har du frågor om GDPR, personuppgiftsbiträden och överföringar av personuppgifter till länder utanför EU, kontakta Sinfs jurister så hjälper vi dig att reda i begreppen och kraven.