Kort efter EU-kommissionens beslut att ”grönlista” personuppgiftsöverföringar till USA har en ny rättsprocess initierats. Men denna gång inte av Max Schrems eller noyb – utan av en fransk parlamentsledamot.
I början av juli i år meddelade EU-kommissionen att man återigen beslutat att klassificera USA som ett tredjeland som ”säkerställer en adekvat skyddsnivå för personuppgifter” enligt GDPR. Detta efter att EU-domstolen valt att riva upp kommissionens tidigare ”adekvansbeslut” för personuppgiftsöverföringar till USA i det så kallade Schrems II-målet.
Kommissionens beslut – som följer av ett nytt dataskyddsramverk mellan EU och USA (EU-U.S. Data Privacy Framework Principles, eller DPF) – innebär att överföringar av personuppgifter till många amerikanska företag kraftigt förenklats. I stället för att genomföra omfattande ”Transfer Impact Assessments” och vidta kompletterande tekniska skyddsåtgärder kan europeiska företag nu överföra personuppgifter till företag i USA på grundval av deras medverkan i ramverket.
Alla är emellertid inte nöjda med kommissionens nya beslut. Bland annat rapporterade organisationen noyb – som legat bakom rättsprocesserna kring kommissionens tidigare adekvansbeslut – att de kommer att utmana beslutet i EU-domstolen.
Nu står det också klart att en ny rättsprocess har inletts mot kommissionens beslut. Men inte av noyb – utan av en fransk parlamentsledamot.
I början av september meddelade Philippe Latombe, medlem i partiet MoDem och ledamot av franska nationalförsamlingen, att han har lämnat in ett klagomål över kommissionens beslut till EU:s förstainstansrätt (den så kallade Tribunalen).
I ett pressmeddelande skriver Latombe att bevekelsegrunderna är såväl formella som materiella. Enligt Latombe har det nya DPF-ramverket endast utarbetats på engelska – vilket enligt honom strider mot reglerna i EU:s språkförordning om att ”förordningar och andra texter av allmän räckvidd” ska avfattas på EU:s samtliga officiella språk.[1] Latombe ansluter sig också till den kritik som gör gällande att ramverket strider mot GDPR och EU:s stadga om de grundläggande rättigheterna: bland annat på grund av att den inskränker rätten till respekt för privatlivet och att den inte säkerställer rätten till effektiva rättsmedel inför en opartisk domstol.
Parlamentarikern vänder sig också mot att kommissionens beslut inte har föregåtts av tillräckliga debatter och överläggningar i Europaparlamentet eller medlemsstaternas nationella parlament. I pressmeddelandet skriver han (fritt översatt):
Eftersom jag inte givits möjligheten till en klargörande debatt inom ramen för mitt politiska mandat, och eftersom jag är oroad över de konsekvenser som den aktuella texten kan leda till, har jag valt att tillgripa en processuell väg som ännu inte har utnyttjats, men som står varje EU-medborgare till buds sedan [antagandet av] Lissabonfördraget.
Enligt artikel 263 i fördraget om Europeiska unionens funktionssätt, som Latombe hänvisar till, får alla fysiska och juridiska personer under vissa förutsättningar väcka talan ”mot en regleringsakt som direkt berör dem och som inte medför genomförandeåtgärder”. Om bestämmelsen kan tillämpas i ett fall som detta är oklart. Latombe skriver emellertid att han hoppas att hans talan kan bli praxisbildande och öka möjligheten för EU-medborgare att ”utmana beslut som påverkar dem negativt”.
Om du har frågor om det nya adekvansbeslutet är du välkommen att kontakta Esa Kymäläinen, advokat och partner, eller Fredrik Thorslund, biträdande jurist, på TIME DANOWSKY Advokatbyrå.
[1] Det kan tilläggas att kommissionens beslut publicerades i Europeiska unionens officiella tidning, på samtliga officiella språk (inräknat franska), den 20 september 2023. I den delen bör klagomålet således betraktas som överspelat.
