Adekvansbeslutet - vad innebär det?

Cecilia Nilsson 18 september, 2023

Introduktion

Nytt beslut ökar möjligheten att dela uppgifter med amerikanska företag

Den 10 juli 2023 kom EU-kommissionen med det efterlängtade beslutet om att EU:s och USA:s ramverk Data Privacy Framework uppfyller adekvat skyddsnivå för personuppgifter. Det är nu möjligt för amerikanska företag och organisationer att certifiera sig enligt DPF och på så sätt garantera att de säkerställer en skyddsnivå likvärdig med GDPR. Betyder det att det är fritt fram att föra över personuppgifter till USA nu?

Vad innebär adekvat skyddsnivå?

Dataskyddsförordningens (GDPR) huvudsakliga syfte är att skydda EU-medborgares grundläggande fri- och rättigheter, särskilt deras rätt till skydd av personuppgifter. Men ytterligare ett syfte med GDPR är att säkra ett fritt flöde av personuppgifter inom medlemsstaterna, och det förutsätter att alla medlemsstater har en likvärdig skyddsnivå.

Länder utanför EU omfattas inte av bestämmelserna i GDPR, och därför kan skyddsnivån inte automatiskt garanteras. Med anledning av detta är överföringar till tredjeland som huvudregel förbjuden enligt GDPR. Det finns dock några undantag, varav ett sådant undantag är när EU-kommissionen har beslutat att ett land säkerställer en skyddsnivå som är likvärdig med den som GDPR innebär – så kallad adekvat skyddsnivå. För att kommissionen ska kunna bedöma att adekvat skyddsnivå föreligger måste man bland annat beakta det andra landets lagstiftning och rättspraxis, dess syn på mänskliga rättigheter, om det finns någon effektiv, oberoende tillsynsmyndighet i landet samt om landet har några internationella åtaganden. Även efter att beslut om adekvat skyddsnivå har fattats ska kommissionen löpande omvärdera huruvida skyddsnivån fortfarande är tillräckligt god. Minst vart fjärde år ska en översyn göras, men kommissionen måste även övervaka utveckling i tredjeländer för att säkerställa att skyddsnivån fortsatt är tillräckligt hög. Exempelvis kan det politiska läget innebära snabba förändringar för dataskyddsnivån.

Bakgrund om USA

Data Privacy Framework (DPF) är inte den första överenskommelsen mellan EU och USA, och det är inte heller första gången EU-kommissionen beslutar om adekvat skyddsnivå för USA. Senast 2020 ogiltigförklarade EU-domstolen det dåvarande adekvansbeslutet som grundade sig på överenskommelsen Privacy Shield i det så kallade Schrems II-målet. Några av de stora brister som EU-domstolen påpekade var avsaknaden av möjlighet till rättslig prövning för EU-medborgare, samt amerikanska myndigheters rätt till massövervakning av personuppgifter. I och med ogiltigförklarandet blev det som utgångspunkt olagligt att föra över personuppgifter till USA, vilket har orsakat stora problem för EU-baserade företag och organisationer med leverantörer eller andra motparter i USA.

När det inte längre var tillåtet att föra över personuppgifter med Privacy Shield som grund, valde de flesta organisationer att använda sig av standardavtalsklausuler i kombination med ytterligare skyddsåtgärder (exempelvis kryptering). Vi har dock kunnat se i utvecklingen av rättspraxis att det tycks vara mycket svårt att vidta tillräckliga skyddsåtgärder. Bara dagar innan EU-kommissionens adekvansbeslut presenterades meddelade IMY tillsynsbeslut angående fyra svenska bolags användande av Google Analytics, där man ansåg att inget av bolagen hade vidtagit tillräckliga skyddsåtgärder och således olagligen överfört uppgifter till USA. Två av bolagen tilldelades rejäla sanktionsavgifter, medan de andra två bolagen fick motta varsin varning från IMY.

Det har funnits stora politiska intressen i att uppnå en ny överenskommelse för att inte helt stoppa den transatlantiska handeln, och den 7 oktober 2022 gick USAs president Joe Biden ut med ett presidentdekret, vilket ni kan läsa mer om här. EU-kommissionen har därefter berett ett förslag till beslut angående adekvat skyddsnivå, vilket nu alltså äntligen har kommit på plats efter en tids granskningar.

Data Privacy Framework

Men vad innebär då DPF? Likt företrädaren Privacy Shield bygger DPF på en självcertifieringsmekanism. Amerikanska företag och organisationer kan självcertifiera sig genom att ansluta sig till DPF, och på så vis intyga att man upprätthåller en tillräckligt hög skyddsnivå för personuppgifter.

De organisationer som tidigare var anslutna till Privacy Shield har automatiskt anslutits till DPF under en övergångsperiod, vilket innebär att de inom tre månader måste uppdatera sina informationstexter, policies mm för att uppfylla de nya krav som ställs. Övergångsperioden är till och med den 17 oktober 2023 och innan dess måste även de automatiskt anslutna organisationerna självcertifiera sig.

Organisationer som har anslutit sig till DPF finns med på en lista som administreras av det amerikanska handelsdepartementet.

Står vi inför Schrems III?

Max Schrems, mannen som ligger bakom de två tidigare rättsfallen som mynnade ut i ogiltigförklarandet av såväl Safe Harbor som Privacy Shield, har redan riktat skarp kritik mot överenskommelsen. Han menar på att skillnaderna gentemot de tidigare överenskommelserna är så pass marginella att de saknar praktisk betydelse.

Även andra kritiska röster har höjts. Amerikanska underrättelsemyndigheter får numera endast begära ut personuppgifter om det kan bedömas vara proportionellt och nödvändigt för att skydda nationell säkerhet, men amerikanska myndigheter är inte och kommer med all sannolikhet inte att certifiera sig enligt DPF. Det finns med andra ord inte någon garanti för att de amerikanska myndigheterna kommer att behandla personuppgifterna med tillräckligt gott skydd. Det kan även argumenteras för att det saknas rättslig grund för överföringen till amerikanska myndigheter inom ramen för GDPR, eftersom den rättsliga förpliktelsen framgår av amerikansk rätt – inte av unionsrätten eller nationell rätt i en medlemsstat.

Det har även påtalats att även om det förvisso finns en instans för rättslig prövning av individers rättigheter enligt dataskyddsbestämmelserna, är instansen inte en amerikansk myndighet och det råder osäkerhet avseende om det verkligen går att anse att detta ger möjlighet till en effektiv rättsprövning.

Det politiska läget i USA väcker även det vissa frågetecken, eftersom det finns tydliga politiska intressen i denna överenskommelse. Med ett stundande presidentval under 2024 kan de politiska vindarna vända. Eftersom det inte har skett någon lagändring i amerikansk rätt för att komma tillrätta med de brister som påtalades av EU-domstolen i Schrems II-domen, riskerar en ändrad politisk kurs att upphäva de förändringar som har skett.

Hur ska man då tänka i praktiken?

Vi på Secify rekommenderar att fortsatt vara försiktig i sitt förhållningssätt till amerikanska leverantörer.

Med stor sannolikhet kommer det nya adekvansbeslutet prövas av EU-domstolen inom de närmaste åren, och det är min bedömning att det föreligger en risk för att adekvansbeslutet ännu en gång ogiltigförklaras. Ett ogiltigförklarande av adekvansbeslutet skulle innebära att överföringar till USA direkt blir olagliga igen.

Att göra stora satsningar på amerikanska leverantörer är med andra ord inte ett bra val med tanke på den osäkra framtiden, men däremot rekommenderar vi att se över befintliga personuppgiftsbiträdesavtal och konsekvensbedömningar eftersom rättsläget har förändrats.

Om
Senaste inläggen

Cecilia Nilsson

Jurist inom dataskydd på Secify

Cecilia jobbar som dataskyddsjurist på Secify. Hon har tidigare arbetat som myndighetsjurist och dataskyddsombud i statlig sektor.

Senaste inläggen av Cecilia Nilsson

Adekvansbeslutet – vad innebär det? - 18 september, 2023
Tänk på det här vid pseudonymisering och anonymisering av personuppgifter - 12 juli, 2023

Cookie	Varaktighet	Beskrivning
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Analytics" category .
cookielawinfo-checkbox-functional	1 year	The cookie is set by the GDPR Cookie Consent plugin to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Necessary" category .
cookielawinfo-checkbox-others	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Others".
cookielawinfo-checkbox-performance	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Performance".
CookieLawInfoConsent	1 year	Records the default button state of the corresponding category & the status of CCPA. It works only in coordination with the primary cookie.
JSESSIONID	session	The JSESSIONID cookie is used by New Relic to store a session identifier so that New Relic can monitor session counts for an application.

Cookie	Varaktighet	Beskrivning
_zcsr_tmp	session	Zoho sets this cookie for the login function on the website.
1e5a17c8ab	session	This cookie is set in relation to Zoho Campaigns
AnalyticsSyncHistory	1 month	No description
bscookie	1 year	LinkedIn sets this cookie to store performed actions on the website.
lang	session	LinkedIn sets this cookie to remember a user's language setting.
li_gc	5 months 27 days	Used to store consent of guests regarding the use of cookies for non-essential purposes
ppwp_wp_session	30 minutes	ppwp_wp_session is a cookie is native to PHP applications. The cookie is used to store and identify a users' unique session ID for the purpose of managing the user's session on the website. The cookie is a session cookie and is deleted when all browser windows are closed.

Cookie	Varaktighet	Beskrivning
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_ga_X8W3VDVR14	2 years	This cookie is installed by Google Analytics.
_gat_UA-112487526-1	1 minute	A variation of the _gat cookie set by Google Analytics and Google Tag Manager to allow website owners to track visitor behaviour and measure site performance. The pattern element in the name contains the unique identity number of the account or website it relates to.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
utm_source	7 days	This cookie is used to record from where the visitor came to the website orginally. This information is used by the website operator to know the efficiency of their marketing.

Cookie	Varaktighet	Beskrivning
_fbp	3 months	This cookie is set by Facebook to display advertisements when either on Facebook or on a digital platform powered by Facebook advertising, after visiting the website.
_gcl_au	3 months	Provided by Google Tag Manager to experiment advertisement efficiency of websites using their services.
bcookie	1 year	LinkedIn sets this cookie from LinkedIn share buttons and ad tags to recognize browser ID.
d18efd344f	session	Collects information on user preferences and international with erb content. Used to promote relevant events or products. Session.
fr	3 months	Facebook sets this cookie to show relevant advertisements to users by tracking user behaviour across the web, on sites that have Facebook pixel or Facebook social plugin.
IDE	1 year 24 days	Google DoubleClick IDE cookies are used to store information about how the user uses the website to present them with relevant ads and according to the user profile.
lidc	1 day	LinkedIn sets the lidc cookie to facilitate data center selection.
test_cookie	15 minutes	The test_cookie is set by doubleclick.net and is used to determine if the user's browser supports cookies.
UserMatchHistory	1 month	LinkedIn sets this cookie for LinkedIn Ads ID syncing.
utm_medium	7 days	This cookie is used to record from where the visitor came to the website orginally. This information is used by the website operator to know the efficiency of their marketing.
ZCAMPAIGN_CSRF_TOKEN	session	No description available.
ZMEET_CSRF_TOKEN	session	No description available.