Privacy Shield: Biden godkänner order, kan leda till nytt ramverk

Beatrice Helmersson 18 oktober, 2022

Inledning

Detta har hänt

Privacy Shield var ett ramverk för att reglera transatlantiskt överföring i form av personuppgifter för kommersiella ändamål mellan EU och USA. Syftet med regleringen var att gör det lättare för amerikanska företag att ta emot personuppgifter från EU i enligt dataskyddsförordningen (GDPR) som är avsedd att skydda EU-medborgares personuppgifter.

Den 12 juli 2016 trädde Privacy Shield i kraft efter att Europeiska kommissionen godkänt det. Privacy Shield ersatte då det tidigare ramverket Safe Harbor. Men bara några dagar efter godkännandet, den 16 juli 2020, ogiltigförklarade EU domstolen privacy shield i det omtalade Schrems II målet.

Nuläge

Vad händer nu?

Den 7 oktober undertecknade Joe Biden en presidentorder som förväntas ska åtgärda de brister som EU-domstolen tog upp när den ogiltigförklarade det tidigare Privacy Shield-regelverket.

EU-kommissionen kommer att föreslå ett utkast till beslut om adekvat skyddsnivå samt inleda ett antagningsförfarande. I förfarandet ingår inhämtande av yttrande från European Data Protection Board (EDPB) samt godkännande från en kommitté beståendes av företrädare från EU:s medlemsstater. Europaparlamentet har därefter rätt att granska beslutet. Först efter detta kan EU-kommissionen anta det slutgiltiga beslutet.

Från det ögonblick som beslutet antas ska personuppgifter enligt EU-kommissionen kunna flöda fritt och säkert mellan företag i EU och USA, som certifierats av handelsdepartementet enligt det nya ramverket.

Det nya ramverket kommer bland annat att innebära följande:

  • Krav tas fram på amerikansk signalspaningsverksamhet att denna endast ska bedrivas i syfte att uppnå fastställda nationella säkerhetsmål. Hänsyn ska tas till alla människors integritet och medborgerliga friheter – oavsett nationalitet eller bosättningsland. Signalspårning ska bara få ske när det är nödvändigt och det måste även stå i proportion till syftet.
  • Nya hanteringskrav för när personuppgifter samlas in genom signalspaningsverksamhet. Tjänstemän som hanterar personuppgifter ska hantera dessa på ett korrekt sätt och se till att lämpliga åtgärder vidtas vid bristande efterlevnad.
  • Krav på att amerikanska underrättelsetjänsten uppdaterar dess riktlinjer och förfaranderegler för att återspegla de nya skyddsåtgärderna för integritet och medborgerliga friheter.
  • Att det inrättas en prövningsprocess som ska möjliggöra för personer från kvalificerade stater och regionala organisationer för ekonomisk integration att få en oberoende och bindande granskning, samt gottgörelse, om dess personuppgifter har samlats in eller behandlats i strid med tillämplig amerikansk lag (inklusive det utökade skyddet för privatliv och integritet som följer av ordern).
    • Den första instansen av prövningsprocessen ska utgöras av Civil Liberties Protection Officer (CLPO) vid Director of National Intelligence (DNI). Vid denna instans ska prövning och utredning ske om personuppgifter har samlats in eller behandlats i strid med tillämplig lag eller inte. Om så har skett ska även lämpliga åtgärder presenteras. Av ordern framgår att besluten som CLPO fattar är av bindande natur för underrättelsemyndigheter. Det införs vidare en rad skyddsåtgärder som ska säkerställa att CLPO inte påverkas utifrån vid utredning och beslutsfattande.
    • Den andra instansen ska utgöras av Data Protection Review Court (DPRC), som ska tillförsäkra en oberoende och bindande prövning av de beslut som fattats av CLPO i första instans. Domare i DPRC ska ha relevant erfarenhet av dataskydd, integritet och nationell säkerhet. Besluten som fattas i DPRC är bindande och domstolen har även befogenhet att utse en särskild advokat i varje enskilt fall som ska företräda den klagandes intresse.
  • The Privacy and Civil Liberties Oversight Board uppmanas att se över underrättelsemyndigheternas riktlinjer och förfaranden så de överensstämmer med ramverket. De ska även genomföra en årlig översyn av prövningsprocessen.

Innebär detta att problematiken med överföringar mellan USA och EU kommer vara ett minne blott?

Nja, det är fortfarande oklarheter i detta menar organisationen None of your Business (Noyb) som har regerat på presidentordern och ställt sig högst skeptisk till att ramverket kommer att ha någon faktisk inverkan. Man anger bland annat att USA har anpassat innehållet för att semantiskt matcha EU-lagstiftningen och att man inte ser några tecken på att USA:s massövervakning faktiskt kommer att ändras i praktiken.

Noyb anser även att DPRC inte är en riktig domstol, utan ett organ inom den amerikanska regeringens verkställande organ. Därigenom menare man att den inte skulle ge individer tillgång till den rättsliga prövningen av sitt ärende som EU-stadgan om de grundläggande rättigheterna kräver. Stadgan har ett tydligt krav på enskildas rätt till ett effektivt rättsmedel och här menar Noyb att det faktum att man kallar en instans för domstol inte likställer det med en riktig domstol.

Max Schrems, som är ordförande för Noyb och som har kommenterat presidentordern, menar att det fjärde tillägget till den amerikanska konstitutionen tillförsäkrar amerikanarnas rätt till integritet, och att EU ser integritet som en mänsklig rättighet som gäller för alla. Med det menar Schrems att européer inte har någon rätt till privatliv i USA:s ögon.

Med det sagt är framtiden ännu oviss för vad detta förslag kommer att innebära för överföringar av personuppgifter mellan USA och EU. Om ni tampas med frågeställningar rörande just detta, och såklart även rörande övriga frågor kopplat till dataskydd, tveka inte att kontakta Secify råd och stöd.

Beatrice Helmersson
Senaste inläggen av Beatrice Helmersson