Dataskydd: Adekvansbeslut för överföringar av personuppgifter från EU till USA

Hur har situationen sett ut för överföringar mellan EU och USA?

En kort sammanfattning: Överföringar av personuppgifter från EU till USA har varit mycket problematiska att genomföra sedan Schrems II-beslutet i juli 2020 ogiltigförklarade Privacy Shield som en överföringsmekanism enligt kapitel V i GDPR. Ett av problemen ur ett europeiskt perspektiv är att amerikanska myndigheter kan få tillgång till personuppgifterna. Sedan Schrems II-beslutet har överföringar av personuppgifter från EU till USA i de flesta fall förlitat sig på EU-kommissionens standardavtalsklausuler åtföljda av kompletterande skyddsåtgärder. Det har dock blivit uppenbart att det krävs omfattande kompletterande skyddsåtgärder för att sådana överföringar ska ske på ett sätt som är förenligt med lagen. Europeiska tillsynsmyndigheter har i flera fall förklarat att sådana överföringar är olagliga på grund av otillräckliga eller ineffektiva kompletterande skyddsåtgärder och personuppgiftsansvariga har därmed inte lyckats säkerställa en tillräcklig skyddsnivå för de personuppgifter som överförs till USA. Sådana beslut har lett till flera sanktionsavgifter och förbud mot tredjelandsöverföringar (många med Google Inc. som dataimportör) för europeiska organisationer.

I oktober 2022 implementerade USA ett presidentdekret (Presidential Executive Order) som medförde nya bindande skyddsåtgärder som ger europeiska medborgare utökade rättigheter mot tidigare, t.ex. rätten att få tillgång till sina personuppgifter och en ny oberoende och opartisk prövningsmekanism (läs mer här på engelska och svenska).

Vad är nytt?

EU-kommissionen har nu funnit att dessa förändringar i den amerikanska lagstiftningen är tillräckliga och har antagit sitt beslut om adekvat skyddsnivå. Från den 10 juli 2023 har USA lagts till på EU-kommissionens lista över länder som har en adekvat nivå av dataskydd, dock med ett specifikt krav: det mottagande amerikanska företaget och dataimportören måste delta i DPF-programmet (Data Privacy Framework). För överföringar som sker till en organisation som deltar i DPF behövs ingen överföringsmekanism i Art. 46 GDPR (t.ex. standardavtalsklausulerna) eller kompletterande skyddsåtgärder.

Deltagande i DPF

Ett amerikanskt företag som vill delta i DPF måste självcertifiera sig hos International Trade Administration (ITA) inom U.S. Department of Commerce via DPF-programmets hemsida. Det amerikanska företaget kommer offentligt att åta sig att följa DPF:s principer och åtagandet att följa DPF:s principer är verkställbart enligt amerikansk lag (av US Federal Trade Commission). Självcertifierade företag kommer att läggas till på DPF:s lista och för att få stå kvar på listan måste man varje år förnya ansökan om certifiering. Det kommer också att finnas en offentlig lista över företag som har tagits bort från listan och orsaken till detta (t.ex. frivilligt tillbakadragande, misslyckande med att slutföra förnyad ansökan eller konstaterad repetitiv underlåtenhet att uppfylla kraven).

DPF:s principer

DPF-principerna som måste följas är liknande de i GDPR, såsom principen om ändamålsbegränsning, minimeringsprincipen, lagringsprincipen samt skyldigheter avseende datasäkerhet och delning av data med tredje part inklusive myndigheter. De sju DPF-principerna åtföljs av sexton lika bindande kompletterande principer. Vidare måste en organisations integritetspolicy uppdateras så att den hänvisar till och anger att man åtar sig att följa "EU-U.S. Data Privacy Framework Principles".

Vad bör man tänka på?

En europeisk organisation som är på väg att överföra personuppgifter till en amerikansk organisation (även inom samma koncern) ska kontrollera om den amerikanska organisationen deltar i DPF och därmed finns med i DPF-listan. Ja, företaget finns med på listan: överföringen kan genomföras tack vare adekvansbeslutet. Nej, företaget finns inte med på listan: överföringsmekanism i artikel 46 GDPR måste tillämpas. Om den valda överföringsmekanismen är standardavtalsklausulerna ska lagstiftningen i mottagarlandet bedömas, i detta fall amerikansk lagstiftning, i en Transfer Impact Assessment (glöm inte att ta med skyddsåtgärderna i Executive Order). Eventuella kompletterande skyddsåtgärder måste tillämpas.

Kom ihåg att för all behandling av personuppgifter måste alltid en allmän riskbedömning utföras, ibland i form av en konsekvensbedömning avseende dataskydd (Artikel 35 GDPR), oavsett om överföringen är föremål för ett beslut om adekvat skyddsnivå eller inte.

En amerikansk organisation som vill ta emot personuppgifter från EU bör överväga att delta i DPF. Självcertifieringsprocessen kräver en del arbete (t.ex. granskning och sammanställning av information och införande av rutiner) för att se till att DPF:s principer efterlevs.

Reservplan

EU och USA har under lång tid försökt etablera strukturer för överföring av personuppgifter. Sådana initiativ har redan ogiltigförklarats av EU-domstolen två gånger (Safe Harbor 2015 och Privacy Shield 2020). Det är inte alls säkert att DPF kommer att finnas kvar under överskådlig tid. EU:s utskott för medborgerliga fri- och rättigheter argumenterade i sin resolution som publicerades den 14 februari 2023 mot att EU-kommissionen skulle bevilja USA ett beslut om adekvat skyddsnivå och betonade att många av problemen som rör överföringar från USA fortfarande är olösta. Integritetsorganisationen NOYB (None of Your Business) har uttryckt liknande kritik, om än med större eftertryck, och har förklarat sin avsikt att medverka till att frågan hamnar i EU-domstolen. Deras prognos är att ett ärende som ifrågasätter giltigheten av DPF sannolikt skulle nå domstolen redan i slutet av 2023 eller början av 2024. Med tanke på den rättsliga osäkerheten kring DPF råder vi till försiktighet och uppmanar de som ägnar sig åt överföringar mellan EU och USA att förbereda en reservplan för det fall att DPF ogiltigförklaras.