Nytt presidentdekret (Executive Order) – betydelse för överföringar av personuppgifter från Europa till USA
)
Alltsedan EU-domstolen (CJEU) i juli 2020 ogiltigförklarade Privacy Shield (i det s k Schrems II-målet), har de flesta transatlantiska överföringar av personuppgifter varit utelämnade till de verktyg för internationella överföringar som återfinns i artikel 46 GDPR och specifikt undertecknande av Standardklausulerna (SCC). I maj meddelade president Biden och president von der Leyen att en principöverenskommelse nåtts om ett nytt ramverk EU-U.S. Data Privacy Framework (EU-US DPF). Den 7 oktober undertecknade president Biden vad som tycks vara det första större officiella steget i EU-US DPF: en Executive Order on “Enhancing Safeguards for United States Signals Intelligence Activities” (EO), ett amerikanskt presidentdekret.
Presidentdekretet har tillkommit mot bakgrund av Schrems II-målet och det tydliga målet har varit att adressera de problem gällande dataskydd som CJEU tog upp: lägre eller uteblivet skydd för personuppgifter tillhörande EU-medborgare som behandlas i USA.
Genom att implementera presidentdekretet tycks vi vara närmare ett beslut från EU-kommissionen om adekvat skyddsnivå för USA, i likhet med det beslut som fattats för Storbritannien.
Vad är nytt?
Principer
Dekretet innehåller ett antal principer, som är snarlika de som gäller för personuppgiftsbehandling i artikel 5 i GDPR: minimering, lagring, datasäkerhet och tillgång, datakvalitet och dokumentation. Principerna ska efterlevas av samtliga enheter som utgör amerikanska myndigheter för signalspaning, vid sin behandling av personuppgifter som samlats in via signalspaning. Det står uttryckligen att principerna ska tillämpas på samma sätt vid behandling av personuppgifter om icke-amerikaner som för amerikaner.
Säkerhetsåtgärder
Genom implementeringen av presidentdekretet införs ytterligare säkerhetsåtgärder för signalspaningsaktiviteter. Säkerhetsåtgärderna ska begränsa amerikanska underrättelsemyndigheters tillgång till data, genom att tillgången ska vara nödvändig och proportionerlig i förhållande till skyddet för nationell säkerhet. Insamling via signalspaning ska endast utföras för att uppnå vissa legitima ändamål som definieras i dekretet (t.ex. skydd mot terrorism, spionage och hot mot cybersäkerhet), oavsett nationalitet eller hemvist.
För att kunna implementera de nya säkerhetsåtgärderna krävs att amerikanska underrättelsemyndigheter ser över och uppdaterar sina policys och rutiner. Arbetet ska övervakas av Civil Liberties Protection Officer (CLPO) och Privacy and Civil Liberties Oversight Board. Det återstår att se om definitionerna av nödvändig och proportionell är desamma i Europa och USA samt om de bedöms vara tillräckliga enligt EU-domstolen vid en prövning.
Insamling
Riktad insamling ska vara prioriterad. Insamling via signalspaning som utförs i bulk ska endast göras om det inte går att samla in information genom riktad insamling. Vid bulkinsamling ska rimliga metoder och tekniska åtgärder tillämpas för att begränsa datainsamlingen till vad som är nödvändigt. Bulkinsamling är endast tillåten för de ändamål som listas i dekretet.
Avhjälpande
En ny flerlagersmekanism har skapats, till hjälp för enskilda individer som vill framföra klagomål, framställa skadeståndsanspråk eller överklaga beslut. Första lagret utgörs av CLPO. Medborgare i EU kommer att kunna framställa klagomål hos CLPO, som är ansvarig för att amerikanska underrättelsemyndigheter följer grundläggande fri- och rättigheter. Enskilda individer kommer att kunna överklaga CLPO:s beslut till det andra lagret bestående av en domstol, Data Protection Review Court (DPRC). Domstolen kommer att bestå av icke-amerikanska experter inom dataskydd och nationell säkerhet. Beslutet från DPRC kommer att vara bindande.
Klagomål från enskilda individer kommer att skickas via tillämplig dataskyddsmyndighet i en ”kvalificerad stat”. Bedömningen av om en stat är kvalificerad eller inte görs av Attorney General och baseras på hur lagarna i berörd stat behandlar amerikanska medborgares personuppgifter. En kvalificerad stat kan bedömas som okvalificerad av Attorney General om kriterierna inte längre är uppfyllda.
Nästa steg
EU-kommissionen har meddelat att det nu är dags att ta fram ett utkast till ett beslut om adekvat skyddsnivå enligt artikel 45 GDPR baserat på dekretet. Arbetet kan ta upp till sex månader. Utkastet ska därefter remitteras till den Europeiska dataskyddstyrelsen (EDPB), som ska komma med ett icke-bindande utlåtande, och omröstning bland EU:s medlemsstater ska äga rum. Sista steget kommer att vara ett formellt antagande av Kommissionens beslut om adekvat skyddsnivå. Processen efter att Kommissionen har slutfört utkastet till beslut brukar ta fyra till fem månader.
Sammanfattning
Presidentdekretet är endast det första steget mot ett smidigare förfarande för transatlantisk överföring av personuppgifter. Vi ser fram emot kommande bedömning inom ramen för Kommissionens process för adekvansbeslut, av huruvida definitionerna i dekretet stämmer överens med de i GDPR och om säkerhetsåtgärderna är tillräckliga. När ett adekvansbeslut är på plats är det inte orimligt att tänka sig att lösningen ändå kommer att bli föremål för en kommande prövning av CJEU.
Om Privacy hos Fondia
Fondias erfarna och kunniga dataskyddsexperter hjälper dig med alla typer av ärenden som rör personuppgiftsbehandling och integritetsskydd. Vi ger bland annat handfasta råd kring efterlevnad av kraven i den allmänna dataskyddsförordningen (GDPR) och ePrivacy-reglerna samt hittar affärsmässiga lösningar på utmaningar inom dataskydd. Våra experter har tillsammans bred erfarenhet från roller som både dataskyddsombud, bolagsjurist, del av ledningsgrupp, del av dataskyddsgrupp och rena konsultroller. Vi erbjuder också tjänsten DPOaaS- dataskyddsombud som en tjänst.
Tveka inte att kontakta oss – välkommen till Fondia!
