EDPB lämnar sitt yttrande om EU-kommissionens förslag till Privacy Shield 2.0

Den 28 februari 2023 lämnade den Europeiska dataskyddsstyrelsen (EDPB) sitt yttrande om EU-kommissionens förslag till det nya ramverket EU-U.S. Data Privacy Framework (DPF). DPF är tänkt att ersätta Privacy Shield-ramverket som för snart tre år sedan ogiltigförklarades av EU-domstolen i det så kallade Schrems II-målet. Vi har tidigare skrivit om DPF i samband med att USA:s president Joe Biden i oktober 2022 undertecknade den presidentorder som ramverket till stor del bygger på. Läs mer om presidentordern här.

DPF, även kallat Privacy Shield 2.0, syftar till att bemöta de brister som EU-domstolen ansåg fanns i det ogiltigförklarade Privacy Shield-ramverket. Förhoppningen är att de nya åtgärderna är tillräckliga för att EU-kommissionen ska anta ett nytt beslut om adekvat skyddsnivå och därmed återställa möjligheten att använda denna typ av mekanism vid överföring av personuppgifter mellan EU och USA.

EDPB slår i sitt yttrande fast att DPF är ett steg i rätt riktning jämfört med Privacy Shield-ramverket, men konstaterar samtidigt att flera aspekter av förslaget måste utvecklas eller preciseras ytterligare. EDPB är positivt inställd till införandet av principer om nödvändighet och proportionalitet i relation till den amerikanska underrättelsetjänstens möjligheter att samla in uppgifter. EDPB ser även positivt på inrättandet av Data Protection Review Court (DPRC), en domstolsmekanism som ska göra det möjligt för EU-invånare att lämna klagomål och söka rättelse gällande den amerikanska underrättelsetjänstens insamling av data.

Samtidigt betonar EDPB att förslaget har vissa brister. De punkter som måste förtydligas eller justeras relaterar bland annat till bestämmelser gällande automatiserat beslutsfattande och vidareöverföring av personuppgifter till andra länder. Vidare konstaterar EDPB bland annat att ramverket inte tillhandahåller tillräckliga skyddsåtgärder, alternativt ställer krav på aktörer att inhämta förhandstillstånd, för massinsamling av data.

Vissa frågetecken kvarstår även gällande DPRC:s möjligheter att få tillgång till information och huruvida domstolen på ett tillfredsställande sätt kan säkerställa en godtagbar balans mellan individens rättigheter och USA:s nationella säkerhet. Vidare menar EDPB att DPF och presidentorderns effektivitet kommer att vara beroende av att de amerikanska underrättelsetjänsterna antar de riktlinjer och förfaranden som krävs för ett införande.

Det nya ramverket måste nu godkännas av den så kallade artikel 93-kommittén bestående av företrädare från EU:s medlemsstater innan EU-kommissionen kan anta ett beslut. Europaparlamentet, som lämnade sitt yttrande en dag före EDPB, har ställt sig kritisk till förslagets utformning. Varken EDPB eller Europaparlamentets yttrande är bindande, men lär ändå ha en viss inverkan på EU-kommissionens beslutsprocess. Var det landar återstår att se.

Delphi kommer fortsatt att följa och rapportera om beslutsprocessens utveckling. Du kan läsa EDPB:s yttrande i sin helhet här.

Denna artikel är skriven av Associate Petri Dahlström.