USA:s president undertecknar dekret som ska möjliggöra datadelning mellan EU och USA

Författare:

|

Datum:

|

Författare: Kave Noori

I mars 2022 offentliggjorde EU-kommissionens ordförande Ursula von der Leyen och President Joe Biden att EU och USA ingått en politisk överenskommelse om principerna för ett framtida ramverk för transatlantiska dataöverföringar. Forum för Dataskydd rapporterade om detta i april. 

Nu lite mer än 6 månader senare publicerade USA:s president Biden den 7 oktober ett presidentdekret som ska åtgärda de brister i amerikansk rätt som enligt EU-domstolen i målet C-311/18 (Schrems II) ledde till att Privacy Shield-regelverket ogiltigförklarades.

I ett pressmeddelande betonar Vita huset att möjligheten att överföra data mellan EU:s och USA:s marknader är väsentlig för att den stora exporthandel som sker mellan de båda marknaderna till ett värde av 7.1 biljoner dollar ska fungera.

I korthet innebär det nya presidentdekretet

  • Att den amerikanska signalspaningen ska beakta skyddet för privatliv och civila rättigheter för alla människor, oavsett personens nationalitet eller i vilket land denne bor. Vidare anger presidentdekretet att sådan signalspaning bara får ske i vissa situationer samt att det måste göras på ett sätt som står i proportion till syftet. 
  • Att uppgifter som samlas in genom signalspaningsverksamhet ska hanteras på ett visst sätt och ser till att de personer som ansvarar för att uppgifterna hanteras korrekt vidtar lämpliga åtgärder för att åtgärda eventuella överträdelser. 
  • Att de amerikanska underrättelsemyndigheternas riktlinjer och procedurer anpassas för att skydda människors privatliv och medborgerliga friheter.
  • Att det inrättas en rättslig process så att människor från vissa stater och regionala organisationer för ekonomisk integration (förmodligen syftas det på organisationer som Europeiska unionen, reds anm.) har möjlighet att begära en prövning och en lösning på ett klagomål om att deras personuppgifter har samlats in eller behandlats av Förenta staterna i strid med lagen samt det utökade skyddet för icke amerikaners privatliv som följer av dekretet. 
  • Att Civil Liberties Protection Officer (CLPO) vid Office of the Director of National Intelligence (DNI) utgör den första instansen för prövning och utredning av klagomålen för att avgöra om det utökade skyddet enligt dekretet har överträtts och i så fall vilka åtgärder som är lämpliga. I dekretet anges att CLPOs beslut är bindande för underrättelsemyndigheter och att det införs ett antal skyddsåtgärder för att säkerställa att CLPO kan utreda klagomål och fatta beslut utan påverkan utifrån. 
  • Att presidenten ger justitieministern i uppdrag att inrätta en ”dataskyddsöverdomstol” (Data Protection Review Court, DPRC) för att tillhandahålla en andra nivå av oberoende och bindande prövning av de beslut som fattas av den amerikanska regeringens Civil Liberties Protection Officer (CLPO). DPRC består av domare utanför regeringen som har relevant erfarenhet av integritetsskydd och nationell säkerhet. Domstolens beslut är bindande och den har befogenhet att utse en särskild advokat som ska företräda den klagandes intressen i varje enskilt fall. 
  • Att Privacy and Civil Liberties Oversight Board får i uppdrag att se över underrättelsemyndigheternas riktlinjer och förfaranden för att säkerställa att de överensstämmer med presidentdekretet. Privacy and Civil Liberties Oversight Board ska också genomföra en årlig översyn av processen för att utreda och hantera klagomål, inklusive huruvida underrättelsetjänsterna helt och hållet har följt CLPO:s och DPRC:s slutsatser.

EU-kommissionen ger ut en FAQ
I sin FAQ om det nya ramverket för dataskydd mellan EU och USA beskriver EU-kommissionen nästa steg i processen, som bland annat innebär att den lägger fram ett utkast till beslut om adekvat skyddsnivå och inleder ett förfarande för att anta beslutet. 

Processen för att anta ett beslut om adekvat skyddsnivå består av olika steg: det behövs ett yttrande från europeiska dataskyddsstyrelsen (EDPB) och grönt ljus från en kommitté bestående av företrädare för EU:s medlemsstater. Därutöver har Europaparlamentet rätt att granska besluten om adekvat skyddsnivå. Det är först efter att dessa instanser sagt sitt som EU-kommissionen kan anta det slutliga beslutet om adekvat skyddsnivå för USA.

Från det ögonblick som beslutet antas kommer personuppgifter att kunna flöda fritt och säkert mellan EU och amerikanska företag som certifierats av amerikanska handelsdepartementet enligt det nya regelverket. Amerikanska företag kommer att kunna ansluta sig till ramverket genom att åta sig att uppfylla en detaljerad uppsättning skyldigheter.

EU-kommissionen uppger vidare att den tror att den nya dataskyddsramen mellan EU och USA inte kommer att ogiltigförklaras av EU-domstolen. Det beror på att Förenta staternas president enligt EU-kommissionen har inkluderat skyddsåtgärder i presidentdekretet för att ta itu med de farhågor som EU-domstolen tog upp i Schrems II-domen. 

Reaktioner från organisation för digitala rättigheter
Noyb (None of your Business), som är en organisation för digitala rättigheter, har publicerat en reaktion på det amerikanska presidentdekretet. Noyb skriver att trots att USA har ändrat ordalydelsen i dekretet för att matcha ordvalen EU-lagstiftningen, så finns det inga tecken på att USA:s massövervakning faktiskt kommer att förändras i praktiken. 

Noyb anser att EU och USA har kommit överens om att kopiera orden ”nödvändig” och ”proportionerlig” i presidentdekretet. Det är dock enligt Noyb oklart om detta kommer medföra att USA kommer ändra sin övervakningspraxis så att dessa juridiska begrepp ges samma betydelse i amerikansk rätt som i EU-rätten.  

”EU och USA är nu överens om att använda ordet ”proportionell”, men tycks vara oense om dess innebörd. I slutändan kommer EU-domstolens definition att segra – vilket sannolikt dödar alla EU-beslut igen. EU-kommissionen blundar återigen för amerikansk lag och tillåter fortsatt spionage mot européer.” säger Max Schrems, ordförande för Noyb (citatet har översatts till svenska)

Vidare anser Noyb att ”Dataskyddsöverdomstolen” som ska inrättas enligt dekretet inte är en riktig domstol, och att den inte skulle ge individer tillgång till den form av rättslig prövning av sitt ärende som krävs enligt EU-stadgan om de grundläggande rättigheterna. Fortsättningsvis säger Max Schrems enligt uttalandet att EU-stadgan har ett tydligt krav på att man ska ha tillgång till rättsmedel och att det faktum att ett organ som hanterar klagomål och som organisatoriskt ligger under den verkställande makten kallas ”domstol” inte gör organet till en riktig domstol. 

Slutligen skriver Noyb att det fjärde tillägget till den amerikanska konstitutionen skyddar amerikanernas rätt till integritet, men att EU ser integritet som en mänsklig rättighet som gäller för alla. Detta innebär att européer inte har någon rätt till privatliv i USA:s ögon. Max Schrems säger att detta är motsägelsefullt och att USA inte kan vara världens molnleverantör om européerna inte får samma rättigheter som amerikanerna. 

Läs mer här:

Vita Husets pressmeddelande den 7 oktober 2022 ”Faktablad: President Biden undertecknar ett dekret för att genomföra ramverket för dataskydd mellan EU och USA

EU- kommissionens FAQ, publicerad den 7 oktober 2022

Noybs uttalande den 7 oktober 2022

Nytt datadelningsavtal med USA välkomnas av näringslivet men föreningar är skeptiska

Forum för Dataskydds nyhet den 26 augusti om diabetesvård som ställs mot skyddet för den personliga integriteteten (artikeln behandlar fråga om ifall fjärde tillägget till USAs grundlag skyddar européers privatliv)