Första steget mot Privacy Shield 2.0 är taget

Den 7 oktober 2022 undertecknade USA:s president Joe Biden ett presidentdekret, en s.k. Executive Order, om att införa det nya ramverket European Union-U.S. Data Privacy Framework. Detta ramverk ska ersätta Privacy Shield-ramverket som för två år sedan ogiltigförklarades av EU-domstolen i det s.k. Schrems II-målet (läs mer om EU-domstolens avgörande här). Bidens presidentdekret föregicks av att EU och USA tidigare i år träffade en överenskommelse om principerna för det nya ramverket i syfte att underlätta transatlantiska överföringar av personuppgifter.

Enligt EU:s dataskyddsförordning (GDPR) är det som huvudregel förbjudet att överföra personuppgifter till länder utanför unionen för vilka det saknas beslut om adekvat skyddsnivå, eller om lämpliga skyddsåtgärder inte har vidtagits. Vid två tidigare tillfällen har EU beslutat att USA säkerställer en adekvat skyddsnivå. Både Safe Harbour-ramverket och Privacy Shield-ramverket ogiltigförklarades dock av EU-domstolen år 2015 respektive 2020.

Vita huset betonar i ett pressmeddelande att det nya ramverket ska ta sikte på den problematik som föranledde EU-domstolens ogiltigförklaring av Privacy Shield-ramverket. EU-domstolen ansåg att amerikanska myndigheter, trots Privacy Shield, hade för generella möjligheter att få åtkomst till personuppgifter mot bakgrund av intressen som ”nationell säkerhet, allmänintresset och rättsefterlevnaden”.

Utifrån de åtgärder som kommer vidtas enligt Joe Bidens presidentdekret är förhoppningen att EU-kommissionen kommer anta ett nytt beslut om adekvat skyddsnivå som återställer möjligheten att använda denna mekanism vid överföring av personuppgifter mellan EU och USA.

Vilka åtgärder kommer vidtas med anledning av Bidens presidentdekret?

• Nya skyddsåtgärder ska införas inom ramen för de amerikanska myndigheternas signalspaningsverksamhet. Bland annat uppställs krav på att signalspaningsverksamheten endast ska bedrivas i syfte att uppnå fastställda mål för den nationella säkerheten och endast i den utsträckning det är nödvändigt för att uppnå detta syfte. Signalspaningsverksamheten måste dessutom bedrivas på ett sätt som står i proportion till syftet och med beaktande av skyddet för varje persons privatliv och civila rättigheter, oavsett personens nationalitet och bosättningsland.
• Uppgifter som insamlas i samband med signalspaningsverksamhet ska hanteras på ett visst sätt och ansvaret för personer som arbetar inom signalspaningsverksamhet utvidgas för att säkerställa att bristande efterlevnad av hanteringskraven åtgärdas.
• Amerikanska underrättelsemyndigheter ska uppdatera sina policys och processer för att återspegla de skärpta kraven på skyddet för människors privatliv och civila rättigheter.
• En tvåstegsprocess ska inrättas som ger individer från vissa stater och regionala organisationer möjlighet till en oberoende prövning av påståenden om att deras personuppgifter har hanterats i strid mot tillämpliga regler, inbegripet de utökade kraven enligt presidentdekretet. Prövningen enligt processens första steg genomförs av Civil Liberties Protection Officer (CLPO). CLPO avgör om gällande reglering efterföljs och tar bindande beslut om vilka åtgärder som ska vidtas vid bristande efterlevnad. Vidare ska den amerikanska justitieministern inrätta en dataskyddsöverdomstol (DPRC), som i processens andra steg prövar de beslut som tagits av CLPO.
• Privacy and Civil Liberties Oversight Board ska ges ansvar att se över underrättelsemyndigheternas policys och processer för att säkerställa att de är förenliga med presidentdekretet. Den ska även genomföra en årlig översyn av tvåstegsprocessen beskriven i punkten ovan, vilket innefattar övervakning av underrättelsemyndigheternas rättelse efter de beslut som fattats av CLPO och DPRC.

Vad är nästa steg i processen mot ett nytt beslut om adekvat skyddsnivå?

När ramverket är färdigställt ska EU-kommissionen gå igenom det och ta fram ett utkast till beslut om adekvat skyddsnivå. För att beslutet om adekvat skyddsnivå slutligt ska kunna antas anger EU-kommissionen i en FAQ om det nya ramverket att det krävs godkännande från företrädare av varje EU-medlemsstat samt ett yttrande från den Europeiska dataskyddsstyrelsen. Sist har Europaparlamentet rätt att granska beslutets utkast innan beslutet kan antas av EU-kommissionen.

Vad händer om ett beslut om adekvat skyddsnivå antas?

Om EU-kommissionen antar ett beslut om adekvat skyddsnivå kommer personuppgifter kunna flöda fritt mellan EU och de amerikanska företag som certifierats av det amerikanska handelsdepartementet såsom anslutna till det nya ramverket. Amerikanska företag kan ansluta sig till ramverket genom åtagandet att uppfylla en rad skyldigheter. EU-kommissionen lyfter i sin FAQ att den tror att det nya ramverket skulle klara EU-domstolens granskning, eftersom de problem som Privacy Shield-ramverket stötte på i Schrems II-domen adresseras i de nya skyddsåtgärderna som följer av presidentdekretet.