EDPB och EU-parlamentet ser svagheter i nytt datadelningsavtal med USA

Av: Kave Noori

I december 2022 rapporterade Forum för Dataskydd att EU-kommissionen hade antagit ett utkast till beslut om ett datadelningsavtal mellan USA och EU. Överenskommelsen kallas för ramverket för dataskydd (EU-US Data Privacy Framework, DPF). European Data Protection Board (EDPB) lämnade ett yttrande om utkastet den 28 februari 2023. Nästa steg i processen är att utkastet till beslut ska utvärderas av en kommitté som företräder medlemsstaternas intressen i enlighet med artikel 93 i GDPR.

EDPB:s yttrande
EDPB kommenterade EU-kommissionens utkast till beslut som omfattar både privat sektor och amerikanska myndigheters tillgång till och användning av uppgifter. EDPB välkomnade flera ändringar av DPF-principerna, men konstaterar att vissa problem kvarstår, t.ex. undantagen från rätten till tillgång, bristen på klarhet om tillämpningen av DPF-principerna på personuppgiftsbiträden och avsaknaden av särskilda regler om automatiserat beslutsfattande och profilering. EDPB framhåller också vikten av en effektiv övervakning och tillämpning av GDPR. EDPB uttrycker sin oro och kräver klargöranden på flera punkter. EDPB är bekymrat över de registrerades rättigheter, överföringen av uppgifter från Europeiska unionen till andra länder, tillämpningsområdet för vissa undantagsbestämmelser, massinsamling av personuppgifter och hur överklagandemekanismen fungerar i praktiken.

“En hög dataskyddsnivå är oumbärlig för att garantera EU-invånares fri- och rättigheter. Vi ser att betydande förbättringar har gjorts i USA:s rättsliga ramverk men vi rekommenderar också att de frågetecken vi har lyft nu tas omhand så att ett nytt adekvansbeslut kan bli bestående” säger EDPB:s ordförande Andrea Jelinek enligt IMY:s nyhetssida.

Vidare uttrycker EDPB vissa farhågor om Privacy and Civil Liberties Oversight Board and the Data Protection Review Court. Å ena sidan ser EDPB inrättandet av dessa två organ som en förbättring jämfört med den ombudsmekanism som fanns under Safe Harbor och Privacy Shield. Samtidigt är EDPB oroad över att det fortfarande inte finns något krav på att ett oberoende rättsligt organ eller en oberoende domstol på förhand måste godkänna massövervakning som sker enligt Executive Order 12333.

Därutöver beklagar EDPB att de nya reglerna inte ger Foreign Intelligence Surveillance Court möjlighet att granska och självständigt godkänna statlig övervakning på grundval av Section 702 i Foreign Intelligence Surveillance Act. EDPB uppmanar EU-kommissionen att noga övervaka hur de mekanismer för överklagande som fastställs i det nya ramverket för dataskydd fungerar i praktiken.

EU-parlamentets utskott yttrar sig
Den 17 februari 2023 rapporterade The Register att även Europaparlamentets utskott för medborgerliga fri- och rättigheter samt rättsliga och inrikes frågor (LIBE), gjort ett rådgivande uttalande. Utskottet avråder EU-kommissionen från att anta beslutet innan det genomförts ”meningsfulla reformer” av regelverket. Orsaken är att de amerikanska regeländringar som gjorts ses som otillräckliga för att europeiska och amerikanska regler inte ska krocka. Utskottet framhåller bland annat att USA:s president inte förbjudit massövervakning, att presidenten i hemlighet att utöka listan av legitima skäl till att övervaka och att USA fortfarande saknar en federal personuppgiftslag. 

Fortsättningsvis kan man läsa i artikeln att utskottet menar att reglerna om hur ärenden ska hanteras i Data Protection Review Court fastställer en mycket stark sekretess som inte uppfyller EU-rättens krav. Utskottet påpekar att det inte ens finns en skyldighet att bekräfta för den som klagat att amerikanska myndigheter behandlat dennes personuppgifter. Därmed sätts rätten till tillgång och rätten till att begära rättelse av ens personuppgifter enligt GDPR ur spel. Vidare anser utskottet att Data Protection Review Court inte uppfyller vad EU-stadgan om grundläggande rättigheter ser som en oberoende domstol. 

Läs mer

Forum för Dataskydds artikel, 16 december 2022

EDPB:s pressmeddelande, 28 februari 2023 

IMY:s pressmeddelande, 1 mars 2023 

Amerikanska signalspaningsmyndigheten NSA:s egen förklaring av Exeutive Order 12333

EURACTIV:s nyhetsartikel om EDPB:s yttrande, 28 februari 2023 

Artikel i The Register, 17 februari 2023

Logga in

Ej medlem? Registrera dig

Återställ lösenord

Bli medlem


    Forum för Dataskydd bidrar till ett tryggt informationssamhälle och värnar om integritetsskydd idag och i morgon. Vi förstärker, förenklar och ökar medvetenheten kring integritetsskydd i Europa genom att skapa ett tongivande forum för samverkan och informationsspridning. Stärk ditt dataskyddsarbete med kompetens från drygt 800 medlemmar på våra seminarier och nätverksträffar. Medlemmar går gratis på våra seminarier och nätverksträffar samt till rabatterat pris på Nordic Privacy Arena.

    Studentmedlemskap upphör automatiskt efter ett år, därefter behövs ny ansökan. Ange också ert mecenatkortnr i meddelandefältet.

    Det är viktigt att meddela oss om du byter arbetsplats, faktureringsadress, telefonnummer, mailadress eller annan viktig information. När du byter arbetsplats eller annan ovannämnd information mailar du oss och meddelar detta på info@dpforum.se så att vi kan säkerställa kontinuitet i ditt medlemskap.

    Ordinarie medlemskap: 1645 kr per år.
    Student: Gratis första året, sedan 200 kr per år (är du anställd på ett företag gäller ordinarie pris).












    Genom att fylla i formuläret, godkänner jag att Forum för Dataskydd lagrar mina personuppgifter i sin databas som kommer användas för att förse mig med relevant information om Forum för Dataskydds tjänster och erbjudanden.

    This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.
    Go to cart