Data Protection Blog

Europaparlamentet ställer sig kritisk till Privacy Shield

Europaparlamentet har i juli i år lagt fram en resolution där kritik har riktats mot EU-US Privacy Shield (Privacy Shield) i USA. I resolutionen uppmanas EU-kommissionen att se till att Privacy Shield blir säkrare och uppfyller de krav som ställs i den europeiska dataskyddslagstiftningen.

I både den svenska och den europeiska lagstiftningen har en grundläggande princip länge varit att personuppgifter endast får överföras till länder utanför EU/EES (tredjelandsöverföring) om mottagarlandet har en adekvat skyddsnivå för hanteringen av personuppgifter. Syftet har varit att fortsätta ge fysiska personer inom EU samma skydd som om uppgifterna hade överförts mellan medlemsstater.

För att tredjelandsöverföring ska vara tillåten måste enligt den europeiska dataskyddsförordningen (GDPR) en av följande förutsättningar vara uppfylld:

  1. EU-kommissionen har fattat beslut om att det finns en adekvat skyddsnivå i det land dit uppgifterna ska överföras.
  2. Den personuppgiftsansvariga eller personuppgiftsbiträdet som ska överföra uppgifterna måste ha vidtagit lämpliga skyddsåtgärder. Dessa kan till exempel vara så kallade standardavtalsklausuler eller bindande företagsbestämmelser.
  3. Det finns ett undantag enligt artikel 49 GDPR.

 

Tidigare system för adekvat skyddsnivå

I USA har det tidigare funnits ett system för att upprätthålla en adekvat skyddsnivå vid tredjeandsöverföring, det så kallade Safe Harbor. Genom beslut 2000/520 meddelade EU-kommissionen den 26 juli 2000 att Safe Harbor-systemet uppfyllde kravet på en adekvat skyddsnivå. Systemet innebar att organisationer kunde ansluta sig till Safe Harbor och uppfylla kraven genom bland annat självreglering och självverifiering.

I ljuset av Snowden-avslöjandena ogiltigförklarades dock i oktober 2015 Safe Harbor av EU-domstolen i det så kallade Schrems I-målet (C-362/14). I målet ansåg Maximilian Schrems att hans personuppgifter inte behandlades tillräckligt säkert när uppgifterna överfördes till Facebook i USA, eftersom USA inte kunde garantera ett tillräckligt skydd mot den övervakningsverksamhet som bedrevs där, bland annat av National Security Agency (NSA).

Det nya systemet

I februari 2016 meddelade EU-kommissionen att den tillsammans med USA hade kommit överens om ett nytt system för säker dataöverföring mellan EU och USA, det så kallade Privacy Shield. Det nya systemet innebar att organisationer som deltog bland annat skulle informera privatpersoner om deras rätt att få tillgång till sina personuppgifter, samt att privatpersoner kunde vända sig direkt till organisationen med ett klagomål och skulle få ett svar inom 45 dagar.

Privacy Shield hade även ett större fokus på överföring till tredje part, där organisationen som var ansluten till Privacy Shield bland annat var skyldig att se till att tredje part hade samma skyddsnivå som organisationen. Organisationen var även skyldig att på begäran av handelsdepartementet i USA lämna en kopia på relevanta delar av sitt integritetsavtal (Privacy Agreement) med tredje part. Den 12 juli 2016 antog EU-kommissionen ett genomförandebeslut och meddelade att Privacy Shield hade en adekvat skyddsnivå.

Artikel 29-arbetsgruppen för skydd av personuppgifter (Artikel 29-gruppen) hade i sitt uttalande av den 26 juli 2016 välkomnat de förändringar som infördes genom Privacy Shield men uttryckte samtidigt viss oro över utformningen av det nya systemet, bland annat med hänvisning till att Privacy Shield inte erbjöd något skydd mot automatiserad behandling. Detta är något som idag regleras genom GDPR. Artikel 29-gruppen ansåg även att det saknades konkreta försäkringar för att så kallad bulkinsamling av personuppgifter, det vill säga massinsamling och slumpartad insamling, inte ska förekomma.

Europaparlamentets beslut

I sin resolution av den 5 juli 2018 har Europaparlamentet på flera punkter uttryck oro över Privacy Shield. Oron grundade sig delvis i Artikel 29-gruppens tidigare uttalanden. Cambridge Analytica-skandalen som uppdagades i våras gav dessutom Europaparlamentet ytterligare skäl att betvivla Privacy Shield. Bland annat ansåg Europaparlamentet att det var oroväckande att det numera är Facebook i USA som är personuppgiftsansvarig, och inte Facebook i Irland. Detta innebär att personuppgifter från cirka 1,5 miljarder användare överförs till ett tredjeland och Europaparlamentet ansåg därför att denna överföring i praktiken utgjorde en begränsning av medborgares grundläggande rättigheter, vilket inte är tanken med Privacy Shield. Vidare uttryckte Europaparlamentet oro över missbruk av personuppgifter i syfte att påverka politiska uppfattningar eftersom det skulle kunna utgöra ett hot mot demokratin.

Precis som Artikel 29-gruppen hade förklarat i sitt uttalande från 2016 ansåg även Europaparlamentet att det var problematiskt att Privacy Shield inte innehåller några regler för automatiserad behandling och profilering. EU-kommissionen har dock haft avsikt att beställa en studie där det skulle göras en utvärdering av hur automatiserat beslutsfattande påverkar överföringar av personuppgifter som omfattas av Privacy Shield, något som Europaparlamentet ställde sig positivt till.

Privacy Shield följer inte heller EU:s modell för samtyckesbaserad behandling, vilket Europaparlamentet såg negativt på. Samtidigt uppmanades handelsministeriet i USA att tillsammans med europeiska dataskyddsmyndigheter arbeta för att ge en mer exakt vägledning om grundläggande principer för Privacy Shield.

I januari i år godkände USA:s kongress en uppdaterad version av avsnitt 702 i Foreign Intelligence Surveillance Act (FISA). Lagen ger underrättelsemyndigheter i USA möjlighet att samla in information om medborgare som är bosatta utanför USA, men ändringarna har inte innefattat de dataskyddsintressen som länge har funnits hos lagstiftare inom EU.  I mars godkändes även Clarifying Overseas Use of Data (CLOUD) Act, vilket ger brottsbekämpande myndigheter i USA rätt att begära ut personlig information som är lagrad utomlands. Europaparlamentet hade en negativ syn på kongressens behandling av lagstiftningarna.

Europaparlamentet ansåg alltså att det fanns flera brister i Privacy Shield, vilket påpekades redan av artikel 29-gruppen i deras uttalande från 2016. Någon handlingsplan för att åtgärda dessa brister har dock inte upprättats. Med hänsyn till de problem och orosområden som Europaparlamentet hade belyst uppmanades därför EU-kommissionen att tillfälligt upphäva Privacy Shield, om inte USA uppfyllde villkoren enligt GDPR senast den 1 september 2018. Upphävandet skulle gälla fram till dess att USA uppfyller villkoren.

Framtida konsekvenser till följd av Europaparlamentets beslut

Ett upphävande av Privacy Shield skulle innebära att det inte längre finns något officiellt skydd för personuppgifter som överförs till USA, eftersom den rättsliga grunden om adekvat skyddsnivå skulle bli verkningslös gentemot USA. Utan en alternativ väg att uppnå skydd skulle därför en överföring inte vara tillåten enligt GDPR. För företag som idag överför personuppgifter till USA kan detta bli problematiskt, eftersom de inte längre kan förlita sig på den garanti som Privacy Shield tidigare har gett. Som en förberedande åtgärd, och för att undvika att verksamheten påverkas av att Privacy Shield eventuellt upphävs, kan det därför vara bra att vara vaksam för vilka effekter detta kan få för er verksamhet.

En viktig förutsättning att ha i åtanke är att Europaparlamentets resolutioner inte är bindande, vilket ger EU-kommissionen möjlighet att bortse från kraven som ställs på dem. EU-kommissionen kommer dock sannolikt att ta hänsyn till Europaparlamentets synpunkter i sin årliga granskning av Privacy Shield, vilket infaller i september i år. Det återstår dock att se hur EU-kommissionen kommer att agera och vad det får för konsekvenser för utformningen av Privacy Shield och i förlängningen för näringslivet.

Läs Europaparlamentets resolution i sin helhet här.