Adekvansbeslutet - vad innebär det?

18 september, 2023
Uppdaterad: 20 september, 2023
Uppskattad lästid: 4 min

Introduktion

Nytt beslut ökar möjligheten att dela uppgifter med amerikanska företag

Den 10 juli 2023 kom EU-kommissionen med det efterlängtade beslutet om att EU:s och USA:s ramverk Data Privacy Framework uppfyller adekvat skyddsnivå för personuppgifter. Det är nu möjligt för amerikanska företag och organisationer att certifiera sig enligt DPF och på så sätt garantera att de säkerställer en skyddsnivå likvärdig med GDPR. Betyder det att det är fritt fram att föra över personuppgifter till USA nu?

Vad innebär adekvat skyddsnivå?

Dataskyddsförordningens (GDPR) huvudsakliga syfte är att skydda EU-medborgares grundläggande fri- och rättigheter, särskilt deras rätt till skydd av personuppgifter. Men ytterligare ett syfte med GDPR är att säkra ett fritt flöde av personuppgifter inom medlemsstaterna, och det förutsätter att alla medlemsstater har en likvärdig skyddsnivå.

Länder utanför EU omfattas inte av bestämmelserna i GDPR, och därför kan skyddsnivån inte automatiskt garanteras. Med anledning av detta är överföringar till tredjeland som huvudregel förbjuden enligt GDPR. Det finns dock några undantag, varav ett sådant undantag är när EU-kommissionen har beslutat att ett land säkerställer en skyddsnivå som är likvärdig med den som GDPR innebär – så kallad adekvat skyddsnivå. För att kommissionen ska kunna bedöma att adekvat skyddsnivå föreligger måste man bland annat beakta det andra landets lagstiftning och rättspraxis, dess syn på mänskliga rättigheter, om det finns någon effektiv, oberoende tillsynsmyndighet i landet samt om landet har några internationella åtaganden. Även efter att beslut om adekvat skyddsnivå har fattats ska kommissionen löpande omvärdera huruvida skyddsnivån fortfarande är tillräckligt god. Minst vart fjärde år ska en översyn göras, men kommissionen måste även övervaka utveckling i tredjeländer för att säkerställa att skyddsnivån fortsatt är tillräckligt hög. Exempelvis kan det politiska läget innebära snabba förändringar för dataskyddsnivån.

Bakgrund om USA

Data Privacy Framework (DPF) är inte den första överenskommelsen mellan EU och USA, och det är inte heller första gången EU-kommissionen beslutar om adekvat skyddsnivå för USA. Senast 2020 ogiltigförklarade EU-domstolen det dåvarande adekvansbeslutet som grundade sig på överenskommelsen Privacy Shield i det så kallade Schrems II-målet. Några av de stora brister som EU-domstolen påpekade var avsaknaden av möjlighet till rättslig prövning för EU-medborgare, samt amerikanska myndigheters rätt till massövervakning av personuppgifter. I och med ogiltigförklarandet blev det som utgångspunkt olagligt att föra över personuppgifter till USA, vilket har orsakat stora problem för EU-baserade företag och organisationer med leverantörer eller andra motparter i USA.

När det inte längre var tillåtet att föra över personuppgifter med Privacy Shield som grund, valde de flesta organisationer att använda sig av standardavtalsklausuler i kombination med ytterligare skyddsåtgärder (exempelvis kryptering). Vi har dock kunnat se i utvecklingen av rättspraxis att det tycks vara mycket svårt att vidta tillräckliga skyddsåtgärder. Bara dagar innan EU-kommissionens adekvansbeslut presenterades meddelade IMY tillsynsbeslut angående fyra svenska bolags användande av Google Analytics, där man ansåg att inget av bolagen hade vidtagit tillräckliga skyddsåtgärder och således olagligen överfört uppgifter till USA. Två av bolagen tilldelades rejäla sanktionsavgifter, medan de andra två bolagen fick motta varsin varning från IMY.

Det har funnits stora politiska intressen i att uppnå en ny överenskommelse för att inte helt stoppa den transatlantiska handeln, och den 7 oktober 2022 gick USAs president Joe Biden ut med ett presidentdekret, vilket ni kan läsa mer om här. EU-kommissionen har därefter berett ett förslag till beslut angående adekvat skyddsnivå, vilket nu alltså äntligen har kommit på plats efter en tids granskningar.

Data Privacy Framework

Men vad innebär då DPF? Likt företrädaren Privacy Shield bygger DPF på en självcertifieringsmekanism. Amerikanska företag och organisationer kan självcertifiera sig genom att ansluta sig till DPF, och på så vis intyga att man upprätthåller en tillräckligt hög skyddsnivå för personuppgifter.

De organisationer som tidigare var anslutna till Privacy Shield har automatiskt anslutits till DPF under en övergångsperiod, vilket innebär att de inom tre månader måste uppdatera sina informationstexter, policies mm för att uppfylla de nya krav som ställs. Övergångsperioden är till och med den 17 oktober 2023 och innan dess måste även de automatiskt anslutna organisationerna självcertifiera sig.

Organisationer som har anslutit sig till DPF finns med på en lista som administreras av det amerikanska handelsdepartementet.

Står vi inför Schrems III?

Max Schrems, mannen som ligger bakom de två tidigare rättsfallen som mynnade ut i ogiltigförklarandet av såväl Safe Harbor som Privacy Shield, har redan riktat skarp kritik mot överenskommelsen. Han menar på att skillnaderna gentemot de tidigare överenskommelserna är så pass marginella att de saknar praktisk betydelse.

Även andra kritiska röster har höjts. Amerikanska underrättelsemyndigheter får numera endast begära ut personuppgifter om det kan bedömas vara proportionellt och nödvändigt för att skydda nationell säkerhet, men amerikanska myndigheter är inte och kommer med all sannolikhet inte att certifiera sig enligt DPF. Det finns med andra ord inte någon garanti för att de amerikanska myndigheterna kommer att behandla personuppgifterna med tillräckligt gott skydd. Det kan även argumenteras för att det saknas rättslig grund för överföringen till amerikanska myndigheter inom ramen för GDPR, eftersom den rättsliga förpliktelsen framgår av amerikansk rätt – inte av unionsrätten eller nationell rätt i en medlemsstat.

Det har även påtalats att även om det förvisso finns en instans för rättslig prövning av individers rättigheter enligt dataskyddsbestämmelserna, är instansen inte en amerikansk myndighet och det råder osäkerhet avseende om det verkligen går att anse att detta ger möjlighet till en effektiv rättsprövning.

Det politiska läget i USA väcker även det vissa frågetecken, eftersom det finns tydliga politiska intressen i denna överenskommelse. Med ett stundande presidentval under 2024 kan de politiska vindarna vända. Eftersom det inte har skett någon lagändring i amerikansk rätt för att komma tillrätta med de brister som påtalades av EU-domstolen i Schrems II-domen, riskerar en ändrad politisk kurs att upphäva de förändringar som har skett.

Hur ska man då tänka i praktiken?

Vi på Secify rekommenderar att fortsatt vara försiktig i sitt förhållningssätt till amerikanska leverantörer.

Med stor sannolikhet kommer det nya adekvansbeslutet prövas av EU-domstolen inom de närmaste åren, och det är min bedömning att det föreligger en risk för att adekvansbeslutet ännu en gång ogiltigförklaras. Ett ogiltigförklarande av adekvansbeslutet skulle innebära att överföringar till USA direkt blir olagliga igen.

Att göra stora satsningar på amerikanska leverantörer är med andra ord inte ett bra val med tanke på den osäkra framtiden, men däremot rekommenderar vi att se över befintliga personuppgiftsbiträdesavtal och konsekvensbedömningar eftersom rättsläget har förändrats.