EU-kommisionen: personuppgifter kan överföras till USA igen

Författare:

|

Datum:

|

EU-kommissionen har, efter långa förhandlingar med USA, beslutat att USA erbjuder tillräckligt dataskydd. Detta kommer att underlätta för europeiska organisationer som vill använda amerikanska molntjänster. Kritiker varnar dock för brister i avtalet, som kan leda till att EU-domstolen ogiltigförklarar datadelningsavtalet för tredje gången.

Bakgrund

  • I mars 2022 deklarerade  EU-kommissionen och USA:s president en politisk överenskommelse om huvudprinciperna för det kommande datadelningsavtalet (läs mer här
  • I december 2022 antog EU kommissionen ett utkast till beslut om att USA  erbjuder en adekvat skyddsnivå (läs mer här)
  • I februari 2023 yttrade både EU-parlamentet och European Data Protection Board sig om det nya dataskyddsavtalet och menade att avtalet fortfarande innehåller allvarliga brister (läs mer här)

Rätten till privatliv och skydd för personuppgifter är grundläggande mänskliga rättigheter som har ett grundlagsskydd i EU. Det regleras också genom internationell rätt i Europarådets konvention 108 om rätten till skydd för personuppgifter. GDPR:s regler om hur personuppgifter får överföras utanför EU är tänkta att säkerställa att personuppgifter som överförs utanför unionen ska erbjudas ett motsvarande skydd.

EU-U.S. Data Privacy Framework
EU-kommissionens beslut om att USA erbjuder en adekvat skyddsnivå gör dataskyddsavtalet mellan EU och USA till EU-lag. Överenskommelsen kallas för EU-U.S. Data Privacy Framework, som på svenska heter ”ramen för dataskydd mellan EU och USA”.

Den nya ramen för dataskydd dikterar precis som sina föregångare ”Privacy Shield” och ”Safe Harbour” att personuppgifter endast kan överföras till organisationer i USA som själva valt att certifiera sig hos USA’s handelsdepartement. Du kan undersöka om ett amerikanskt företag är certifierat under det nya ramverket här.

Varför behövs certifieringen?
Orsaken till att amerikanska företag måste certifiera sig är att USA inte har en federal personuppgiftslag. När ett amerikanskt företag ansluter sig till certifieringen förbinder sig företaget att följa tvingande dataskyddsregler som motsvarar kraven i GDPR. Exempelvis ger GDPR enskilda individer rätt att kostnadsfritt få en kopia på vilka personuppgifter ett företag behandlar om dem. Genom amerikanska handelsdepartementets certifiering uppfylls EU-rättens krav på att personuppgifter som överförs utanför EU erbjuds ett motsvarande skydd i USA. Det gäller dock bara när personuppgifter överförs till företag som anslutit sig till certifieringen.

Kommissionen tror nya avtalet uppfyller kraven
EU-kommissionen framhåller att det nya ramverket innehåller förändringar som är nödvändiga för att USA nu ska erbjuda en adekvat skyddsnivå. EU-kommissionen och USA:s regering har anpassat det nya regelverket till EU-domstolens beslut i målen Schrems I och II. I båda fallen ogiltigförklarade EU-domstolen de tidigare datadelningsavtalen med USA.

I båda dessa fall ansåg EU-domstolen att USA inte uppfyller kraven för en adekvat skyddsnivå. EU-domstolen anmärkte inte på hur amerikanska företag behandlar personuppgifter. I stället handlade EU-domstolens kritik om att amerikansk lag gav landets säkerhetstjänster för fria tyglar att övervaka information som överförs från Europa.

Ny ”domstol” och ombudsman inrättas
Med anledning av det nya datadelningsavtalet har USA infört bindande rättssäkerhetsmekanismer för att åtgärda de brister som EU-domstolen tidigare identifierat. Dessa åtgärder syftar till att begränsa amerikanska underrättelsetjänsters tillgång till personuppgifter som överförs från EU till USA, till en nivå som anses vara både ”nödvändig” och ”proportionerlig”.

USA inrättar en ombudsmannafunktion som kallas Civil Liberties Protection Officer och en institution, som kallas Data Protection Review Court (DPRC). Detta är dock inte en domstol i traditionell mening. Normalt grundas domstolar genom lagar som stiftats av ett parlament och är oberoende av den verkställande makten. DPRC har istället inrättats genom ett presidentdekret och ligger organisatoriskt under den amerikanska regeringen.

DPRC har en lägre bevisbörda än vad en traditionell amerikansk domstol skulle kräva för att européer ska ha rätt att väcka ett ärende. De lägre kraven innebär att den klagande bara behöver bevisa att dennes personuppgifter har överförts till USA och hamnat under den amerikanska underrättelsetjänstens jurisdiktion (se punkt 178 i EU-kommissionens beslut).

Förenklat uttryckt behöver den klagande bara bevisa att amerikanska myndigheter i teorin hade laglig rätt att få tillgång till dennes uppgifter om de skulle vilja. Utan denna regellättnad skulle den klagande behöva lämna in bevis som gör det sannolikt att amerikanska myndigheter faktiskt har övervakat denne i det enskilda fallet. Kravet i vanlig domstol kan i praktiken vara mycket svårt, eftersom statlig övervakning omfattas av stark sekretess.

Kritik och reaktioner
Noyb (None of your business) som är en organisation för digitala rättigheter, som leds av Max Schrems som ordförande, har uttalat sig om beslutet. Organisationen håller inte med kommissionen om att det nya regelverket och förändringarna i amerikansk rätt har åtgärdat de juridiska krockarna mellan EU-rätt och amerikansk rätt.

Noyb är starkt kritisk och betecknar det nya beslutet som ett ”politiskt trolleritrick”. Organisationen menar att de faktiska förändringarna inte är så stora som kommissionen påstår och att de är otillräckliga. Noyb påpekar att Européer fortfarande saknar grundlagsskydd i USA:s rättssystem som hindrar att amerikanska myndigheter går för långt i sin övervakning.

Fortsättningsvis anser Noyb att reglerna för hur klagomål ska hanteras av Data Protection Review Court (DPRC) och ombudsmannen inte på ett meningsfullt sätt uppfyller EU-rättens krav att man ska ha tillgång till effektiva rättsmedel. Rätten till effektiva rättsmedel är egen mänsklig rättighet som ska garantera att alla som tror att deras mänskliga rättigheter har kränkts ska garanteras rätten att kunna få sitt klagomål prövat i en domstol. Noyb säger att organisationen är redo att driva ärendet och tror att det nya avtalet kan komma att prövas EU domstolen någon under 2023 eller 2024.

Läs mer

Forum för Dataskydd, nyhetsartikel, ”Nytt datadelningsavtal med USA välkomnas av näringslivet men föreningar är skeptiska”, 2022-04-14

Forum för Dataskydd, nyhetsartikel, ”EU-kommissionen antar utkast till beslut om överföring av uppgifter till USA”, 2022-12-16

Forum för dataskydd, nyhetsartikel ”EDPB och EU-parlamentet ser svagheter i nytt datadelningsavtal med USA”, 2023-03-03

Pressmeddelande Noyb, ”European Commission gives EU-US data transfers third round at CJEU”, 2023-07-10

EU-kommissionens beslut om adekvatskyddsnivå, 2023-07-10

EU-kommissionens svar på vanliga frågor, 2023-07-10

EU-kommissionens pressmeddelande, 2023-07-10