Tech Blog

EU kommissionen publicerar beslutet om Privacy Shield

Av Christine Storr (Kirchberger)

I veckan har Europeiska kommissionen publicerat sitt beslut om Privacy Shield och överföring av personuppgifter från EU till USA. Kommissionen kommer fram till (i skäl 13 och Artikel 1) att USA uppfyller en adekvat skyddnivå i enlighet med Artikel 25(2) i dataskyddsdirektivet inom ramverket Privacy Shield. Privacy Shield består av principerna som utfärdats av amerikanska näringsdepartementet (Department of Commerce) och som återfinns i Annex II av beslutet. Organisationer som följer principerna kommer finnas på en Privacy Shield lista som Department of Commerce ansvarar för. Lika som Safe Harbour innan bygger Privacy Shield på ett system av självcertifiering där organisationer lovar att följa vissa principer, EU-U.S. Privacy Shield Framework Principles.

EU-U.S. Privacy Shield Framework Principles

Principerna handlar bl.a. om

  • information till de registrerade (Notice Principle, skäl 20);
  • begränsning av personuppgifter beroende på ändamålen (Data Integrity and Purpose Limitation Principle, skäl 21);
  • en opt-out rättighet för de registrerade i fall ett nytt ändamål införs som är kompatibel med det ursprungliga ändamålet (Choice Principle, skäl 22);
  • säkerhet (Security Principle, skäl 24);
  • tillgång till information om sina egna personuppgifter, mot en inte för hög avgift (Access Principle, skäl 25);
  • effektiva möjligheter till prövning som den personuppgiftsansvarige måste tillhandahålla (Recourse, Enforcement and Liability Principle, skäl 26)

Enligt skäl 65 ska en Privacy Shield Ombudsman inrättas i USA för dataskyddsfrågor i samband med “national security”. Ett flertal punkter i Europeiska kommissions beslut handlar just om USA:s säkerhetsåtgärder och amerikanska myndigheters bearbetning av personuppgifter.

Reaktionerna

Som tidigare har reaktionerna varit blandade. Europeiska kommissionen är självklart positiva och anser att Privacy Shield är ett robust system:

Å andra sidan tycker Jan-Philipp Albrecht, Europaparlamentarier som var rapporteur i LIBE utskottet för nya dataskyddsförordningen, och Max Schrems, som var en av parterna i EU domen där Safe Harbour upphävdes, att EU borde vänta med Privacy Shield eftersom den skulle kunna följa ödet av Safe Harbour och bli ogiltigförklarad i EU domstolen. Bland annat påpekar de att:

Privacy Shield is meant to be based on “notice and choice”, which sounds promising. However, Privacy Shield does not give users much “choice”. It actually gives companies a general blanket approval to use the personal data of any person under the sun. Only in two specific cases can users object.

They would first have to know which US company was using their data, and then contact the company and actively “opt out”. This gives US companies a significant competitive advantage over European firms. Under the European “opt-in” system, companies typically have to ask customers for consent.

En sak kan säkert påstås: osäkerheten om överföring av personuppgifter mellan EU och USA har minskat en del, men frågan återstår om en slutgiltlig lösning verkligen har hittats.

Ytterligare information

En översikt över Privacy Shield från Europeiska kommissionen finns här som pdf, hela beslutet kan läsas här som pdf. Kommissionens har även skapat en egen sida om Privacy Shield.