Överföringar av personuppgifter till USA kan återigen grönlistas, visar nytt utkast

I ett beslutsutkast som publicerades under tisdagen framgår att EU-kommissionen vill meddela ett nytt så kallat ”adekvansbeslut” för USA – vilket återigen skulle möjliggöra enkla personuppgiftsöverföringar mellan europeiska och amerikanska företag enligt GDPR. Men beslutsunderlaget har redan kritiserats.

Överföringar av personuppgifter från EU till amerikanska företag – och i synnerhet till de stora, USA-baserade molntjänsteleverantörerna – har orsakat mycket huvudbry sedan EU-domstolens avgörande i det så kallade Schrems II-målet 2020.

I målet ogiltigförklarade EU-domstolen det så kallade Privacy Shield-avtalet mellan USA och EU. Därmed föll även EU-kommissionens så kallade adekvansbeslut för USA – det instrument som de flesta europeiska företag och myndigheter förlitade sig på som laglig grund för att överföra personuppgifter till USA under dataskyddsförordningen. Efter domen har företag och myndigheter ofta varit hänvisade till att genomföra komplexa och omfattande rättsutredningar – så kallade ”Transfer Impact Assessments” – innan de kunnat anlita amerikanska underleverantörer för personuppgiftsbehandling.

Men nu kan problemet vara på väg att få en lösning. I ett beslutsutkast som publicerades under tisdagen anger EU-kommissionen nämligen att man vill utfärda ett nytt adekvansbeslut för USA, som återigen skulle göra det möjligt att överföra personuppgifter till amerikanska företag på liknande förutsättningar som för överföringar inom Europa.

Nytt dekret och nytt certifieringsramverk grundar ny bedömning

Det nya beslutsutkastet följer efter ett dekret som undertecknades av USA:s president Joe Biden den 7 oktober 2022. Dekretet, med namnet Enhancing Safeguards for United States Signals Intelligence Activities (EO 14086), syftar till att implementera nya skyddsåtgärder för EU-medborgares personuppgifter i USA. Det handlar särskilt om att begränsa de amerikanska signalspaningsmyndigheternas tillgång till personuppgifter – vilket var en de avgörande anledningarna till att EU-domstolen valde att ogiltigförklara det tidigare gällande Privacy Shield-avtalet.

Dekretet kompletteras också av ett principramverk – EU-U.S. Data Privacy Framework Principles – som utfärdats av det amerikanska handelsdepartementet, och som amerikanska företag kan ansluta sig till på frivillig basis till genom en särskild certifieringsprocess. Förhoppningen med det nya ramverket är att det ska ge EU-medborgare högkvalitativa åtaganden till skydd för privatlivet och samtidigt möjliggöra ett fortsatt dataflöde mellan EU och USA.

Avsikten är att företag som certifierat sig enligt ramverket ska åta sig att följa ett detaljerat regelverk som syftar till att främja skyddet för enskildas privatliv och skyddet för personuppgifter. Det innefattar bland annat:

Krav på att personuppgifter ska vara korrekta och vid behov uppdaterade, adekvata, relevanta och inte överdrivna i förhållande till de syften för vilka de samlades in.
Krav på uttryckligt samtycke (”opt-in”) från enskilda personer för att använda känsliga personuppgifter för nya eller förändrade ändamål, eller för att lämna ut dem till tredje part.
Regler som möjliggör för registrerade att göra invändningar (”opt-outs”) vid behandling av personuppgifter för nya eller förändrade ändamål.
Krav på att personuppgifter behandlas på ett sätt som garanterar deras säkerhet – bland annat genom att skydda dem mot obehörig eller olaglig behandling och oavsiktlig förlust.

EU-medborgare ska också ha möjlighet att tillvarata sina rättigheter gentemot certifierade företag, bland annat genom att framföra klagomål hos en oberoende tvistlösningsorganisation om de anser att deras personuppgifter hanterats i strid med ramverket. Tvistlösningsorganisationen ska ha möjlighet att pröva klagomålen och utfärda lämpliga sanktioner mot företag som anslutit sig till ramverket.

Nya prövningsmekanismer vid misstänkt olaglig signalspaning

Rätten till rättslig prövning behandlas också i det nya presidentdekretet. I fråga om amerikanska myndigheters tillgång till och behandling av personuppgifter – och i synnerhet den signalspaning som bedrivs av amerikanska underrättelsemyndigheter – framgår bland annat att EU-medborgare ska ha möjlighet att framföra klagomål till en särskild granskningsinstans (ODNI CLPO), som ska bedöma om personuppgiftshanteringen är förenlig med amerikansk lag. Granskningsinstansens slutsatser kommer också att kunna överklagas till en särskild dataskyddsdomstol (Data Protection Review Court).

Både granskningsinstansens och dataskyddsdomstolens slutsatser kommer dock att omfattas av sekretess. Av EU-kommissionens beslutsutkast framgår att en klagande endast kommer att få del av ett besked med följande lydelse efter avslutad prövning:

”The review either did not identify any covered violations or the ODNI CLPO issued a determination requiring appropriate remediation.”

EU-kommissionen: adekvat skyddsnivå vid överföring till certifierade företag

I sitt beslutsutkast konstaterar EU-kommissionen att USA, med hänsyn till det nya principramverket och presidentdekretet, nu erbjuder en ”väsentligen likvärdig skyddsnivå” för personuppgifter som den som gäller inom EU, och att landet därmed uppnår en adekvat skyddsnivå för personuppgifter. Det innebär enligt kommissionen att överföringar av personuppgifter från EU till amerikanska företag – som certifierat sig enligt det nya principramverket – kommer kunna ske på ett säkert och lagligt sätt när väl beslutet antagits.

Som ett nästa steg i processen kommer nu Europeiska dataskyddsstyrelsen ges möjlighet att yttra sig över förslaget. Därefter kommer beslutet granskas av en kommitté bestående av representanter från EU:s medlemsstater, samt Europaparlamentet. Ett formellt beslut kommer därför sannolikt att vara på plats tidigast under våren 2023.

Om det nya adekvansbeslutet kommer att stå sig på sikt återstår dock att se. Flera europeiska organisationer och dataskyddsexperter – däribland Max Schrems och organisationen noyb, som legat bakom rättsprocesserna kring kommissionens tidigare adekvansbeslut i Schrems I- och Schems II-målen – har redan uttalat kritik mot de rättsinstrument som nu ligger till grund för kommissionens bedömning. Kritiken har bland annat riktats mot de prövningsmöjligheter som erbjuds enskilda som tror sig ha blivit föremål för olaglig signalspaning – särskilt med hänsyn till att prövningens slutsatser inte kommer att redovisas för den klagande.

I ett uttalande från noyb efter publiceringen av kommissionens beslutsutkast säger Max Schrems:

”Vi kommer att analysera beslutsutkastet i detalj under de kommande dagarna. Eftersom beslutsutkastet baseras på presidentdekretet, som varit känt sedan tidigare, har jag svårt att se hur detta [beslut] skulle klara en prövning i EU-domstolen.”

EU-kommissionens beslutsutkast finns tillgängligt här.

Om du har frågor om överföringar av personuppgifter till USA, eller EU-kommissionens nya beslutsutkast, är du välkommen att kontakta Jonas Forzelius och Esa Kymäläinen, advokater och partners, eller Firel Danho, biträdande jurist, på TIME DANOWSKY Advokatbyrå.

Kaka	Beskrivning
_ga	This cookie is installed by Google Analytics. The cookie is used to calculate visitor, session, campaign data and keep track of site usage for the site's analytics report. The cookies store information anonymously and assign a randomly generated number to identify unique visitors.
_ga_KTEQX8FCFV	This cookie is installed by Google Analytics.
_gat	This cookies is installed by Google Universal Analytics to throttle the request rate to limit the colllection of data on high traffic sites.
_gat_gtag_UA_114835776_47	Set by Google to distinguish users.
_gid	This cookie is installed by Google Analytics. The cookie is used to store information of how visitors use a website and helps in creating an analytics report of how the wbsite is doing. The data collected including the number visitors, the source where they have come from, and the pages viisted in an anonymous form.