EU-U.S Data Privacy Framework
Tredje gången gillt för EU-kommissionen och USA om att tillåta personuppgiftsflöden över Atlanten
EU-kommissionen antog den 10 juli 2023 ett nytt beslut som fastställer en adekvat skyddsnivå för överföring av personuppgifter till USA. Beslutet bygger på EU-U.S. Data Privacy Framework (DPF) eller på svenska "ramen för dataskydd mellan EU och USA", som är en överenskommelse om dataskydd mellan EU och USA. Detta beslut skulle kunna innebära att användning av programvaror och verktyg från populära amerikanska företag som Google, Facebook och Microsoft blir förenligt med GDPR om de ansluter sig till ramverket. För amerikanska företag som vill behandla personuppgifter från Europa krävs det enligt DPF att de certifierar sig hos USA:s handelsdepartement, på samma sätt som enligt de tidigare överföringsavtalen Safe Harbour och Privacy Shield. DPF ersätter alltså föregångaren Privacy Shield, som ogiltigförklarades av EU-domstolen i Schrems II-domen år 2020.
Innan Privacy Shield fanns det ett första överföringsavtal mellan EU och USA som kallades Safe Harbor. Avtalet byggde på ett antal principer som syftade till att reglera utbytet av personuppgifter. Det ogiltigförklarades emellertid i Schrems I-målet år 2015 när klaganden Max Schrems framhöll att avtalet inte kunde garantera skyddet för personuppgifterna. Detta argument baserades på avslöjanden från visselblåsaren Edward Snowden, som visade att data som överfördes till servrar i USA blev tillgängliga för landets underrättelsetjänst. Domstolen stödde Schrems argument och konstaterade att Safe Harbor-avtalet inte levde upp till sina löften om skydd för personuppgifterna.
I Schrems II-målet fastslog EU-domstolen att Privacy Shield-avtalet mellan EU och USA inte erbjöd tillräckligt skydd för överföring av personuppgifter till USA. Anledningen till detta var att USA:s lagstiftning hade flera brister som hindrade skyddet av personuppgifter och stred mot GDPR. Domstolen framhöll särskilt de omfattande möjligheterna till övervakning enligt amerikanska nationella säkerhetslagar som US Foreign Intelligence Surveillance Act (FISA) section 702, Executive Order 12333 och Presidential Policy Directive 28. Dessa lagar reglerade hur amerikanska myndigheter fick åtkomst till och använde personuppgifter som importerades från EU till USA, och de saknade adekvata kontroller för att skydda EU-medborgares uppgifter som kan användas i nationella säkerhetsutredningar. Domstolen noterade också att de registrerades rättigheter inte kunde åberopas i domstol mot amerikanska myndigheter. Privacy Shield hade visserligen infört en skyddsmekanism i form av en ombudsman, men denna roll hade inte befogenhet att fatta bindande beslut för amerikanska underrättelsetjänster
EU-U.S Data Privacy Framework
Det nya DPF bygger till stor del på att USA antagit en ny Executive Order, EO 14086, som innehåller bestämmelser som ska bemöta de brister som EU-domstolen ansåg fanns i Privacy Shield och Safe Harbor.
Amerikanska företag åläggs att skydda registrerades integritet inom DPF
En viktig del av DPF är att amerikanska företag kommer att kunna ansluta sig bara om de åtar sig att följa en detaljerad uppsättning integritetsskyldigheter. Detta inkluderar kravet på att radera personuppgifter som inte längre behövs för de ändamål de samlades in för, samt kravet på att säkerställa skyddet av personuppgifterna om de delas med tredje parter.
Enligt DPF kommer privatpersoner i EU att få tillgång till flera möjligheter till prövning om deras personuppgifter hanteras på ett felaktigt sätt av amerikanska företag. Detta inkluderar kostnadsfria mekanismer för oberoende tvistlösning och en skiljedomsgrupp. Dessa åtgärder syftar till att ge ett starkare skydd och fler rättsliga möjligheter för privatpersoner vars personuppgifter behandlas av amerikanska företag inom ramen för DPF.
Amerikanska underrättelsemyndigheters tillgång till personuppgifter ska begränsas
Avtalet uppger att det amerikanska regelverket innehåller flera skyddsåtgärder för tillgången till överförda uppgifter av amerikanska myndigheter, särskilt inom straffrättsliga och nationella säkerhetsrelaterade ändamål. Tillgången till sådana uppgifter begränsas till vad som är nödvändigt och proportionerligt för att skydda den nationella säkerheten.
När det gäller insamling och användning av uppgifter av amerikanska underrättelsemyndigheter kommer privatpersoner inom EU att ha tillgång till en oberoende och opartisk prövningsmekanism, inklusive en nyinrättad dataskyddsdomstol. Domstolen kommer att utreda och lösa klagomål på egen hand och kan vidta bindande rättelseåtgärder. Till exempel kan domstolen besluta att uppgifter som har samlats in i strid med de nya skyddsåtgärderna ska raderas.
EU-kommissionen kommer att genomföra regelbundna utvärderingar av DPF tillsammans med representanter för europeiska dataskyddsmyndigheter och behöriga amerikanska myndigheter. Den första utvärderingen kommer att äga rum inom ett år efter att beslutet om adekvat skydd trätt i kraft för att säkerställa att alla relevanta delar av regelverket har fullständigt införlivats och fungerar effektivt i praktiken.
Kritik om bristande åtgärder i ramverket och en oförändrad reglering
I en tid då ny teknik kräver överföring av data över nationsgränser, som till exempel artificiell intelligens eller molntjänster, är ett nytt överföringsavtal mellan EU och USA välkommet. Men frågan är om EU-kommissionen kommer att hinna genomföra sin första översyn av DPF innan EU-domstolen ogiltigförklarar avtalet.
Intresseorganisationen None of your business (Noyb), med Max Schrems som ordförande, uppger i ett uttalande att det nya ramverket inte har åtgärdat de brister som EU-domstolen identifierade i Schrems I och Schrems II. Noyb hävdar att inga väsentliga materiella förändringar har genomförts eftersom amerikansk lag fortfarande bara ger konstitutionellt skydd mot massövervakning och möjligheten att få sin sak prövad i domstol till amerikanska företag och medborgare. Den omtalade FISA 702 har inte reformerats för att ge icke-amerikanska personer adekvat integritetsskydd. Trots att dataskyddsdomstolen innebär vissa förbättringar jämfört med den tidigare ombudsmannen i Privacy Shield, kvarstår problemet med en oförändrad reglering där amerikanska underrättelsemyndigheter inte behöver uppge om de har haft tillgång till europeiska medborgares personuppgifter. Noyb framför även att det finns ytterligare problem med tvistlösningsmekanismerna i DPF som skapar hinder för européer att ens lämna in klagomål till domstolen.
Sammanfattning
Beslutet om att fastställa adekvat skyddsnivå för USA kan förväntas bli väl mottaget av många företag och verksamheter, men det finns befogad kritik om att avtalet inte kommer hålla när den ofrånkomligen kommer bli föremål för granskning av EU-domstolen. Det råder stor tvekan om avtalet verkligen åtgärdar de befintliga problemen och tillhandahåller tillräckligt starkt skydd för europeiska medborgares integritet och rättigheter. Överföringsavtalet liknar i stora drag den tidigare Privacy Shield, som blev ogiltigförklarad av EU-domstolen på grund av att det inte uppfyllde kraven i GDPR, särskilt när det gäller skydd mot obehörig åtkomst och rätten till effektiva rättsmedel för enskilda personer.
Vår slutsats
Det återstår att se när och vilken bedömning EU-domstolen kommer att göra avseende DPF:s förenlighet med GDPR. Oavsett så är vår ståndpunkt i frågan oförändrad – europeiska verksamheter bör fortsätta undersöka europeiska eller andra hållbara alternativ tills EU-domstolen uttalat sig om rättssäkerheten avseende personuppgiftsöverföring till USA.