Överföring av personuppgifter till USA - är vi närmare en lösning?
VERKTYG
Rättslig bakgrund
Enligt GDPR är det som huvudregel förbjudet att föra över personuppgifter till tredje land, dvs. utanför EU/EES. Till denna huvudregel finns ett fåtal undantag, varav ett tillåter att personuppgifter överförs till tredje land om EU-kommissionen har beslutat att landet i fråga har en adekvat skyddsnivå (ett s.k. adekvansbeslut). Om ett sådant beslut fattats får personuppgifter överföras utan att lämpliga skyddsåtgärder vidtas.
Tidigare fanns ett adekvansbeslut gällande USA, nämligen det så kallade Privacy Shield-ramverket (kallat ”Privacy Shield”). Med hjälp av Privacy Shield, som byggde på självcertifiering, kunde uppgifter överföras lagligt till amerikanska IT-tjänsteleverantörer. Genom den omtalade Schrems II-domen upphävde EU-domstolen Privacy Shield i juni 2020, varefter det inte kunnat användas som grund för överföring av personuppgifter till USA. Det har alltsedan dess saknats en mekanism för säker överföring till USA, vilket vållat problem för många verksamheter som är mer eller mindre beroende av amerikanska IT-tjänsteleverantörer.
Förslag till adekvansbeslut
Den 13 december 2022 publicerade EU-kommissionen ett förslag till adekvansbeslut gällande USA (kallat ”EU-US Data Privacy Framework”). Om förslaget antas kommer amerikanska mottagare av personuppgifter kunna registrera sig i ett certifieringssystem som binder organisationen till ett antal principer vilka avser att säkerställa en tillräckligt hög skyddsnivå. Genom denna mekanism kommer personuppgifter kunna överföras till registrerade amerikanska organisationer utan att ytterligare åtgärder behöver vidtas. Vi kan förvänta oss att i princip alla större amerikanska moln-/IT-tjänsteleverantörer kommer ansluta sig till EU-US Data Privacy Framework.
Status och tidshorisont
Som redan nämnts befinner sig EU-US Data Privacy Framework på förslagsnivå och ett flertal steg kvarstår innan det slutligen kan antas. Först därefter kan personuppgifter överföras till USA med hjälp av den föreslagna certifieringsmekanismen. Det är ännu osäkert när förslaget kan förväntas antas och träda i kraft, men enligt uppgift från Integritetsskyddsmyndigheten är det sannolikt att beslutet kommer att fattas till sommaren 2023. Som en del i processen ska bland annat Europaparlamentet och Europeiska dataskyddsstyrelsen (”EDPB”), som utgörs av representanter från de nationella dataskyddsmyndigheterna inom EU (däribland svenska Integritetsskyddsmyndigheten, IMY), yttra sig över förslaget.
Även om Europaparlamentet ännu inte tagit slutlig ställning till förslaget har det redan mötts av kritik. Europaparlamentets utskott för medborgerliga fri- och rättigheter samt rättsliga och inrikes frågor publicerade den 14 februari 2023 ett utkast till beslut där utskottet avråder EU-kommissionen från att anta förslaget.
Problem kvarstår
EDPB har i ett yttrande den 28 februari 2023 konstaterat att det nya förslaget till adekvansbeslut innebär betydande förbättringar i jämförelse med Privacy Shield. Enligt EDPB kvarstår emellertid ett antal av de problem som låg till grund för upphävandet av Privacy Shield. Dessutom bedöms det nya förslaget vara både komplext och svårförståeligt.
Synpunkter från Europaparlamentet och EDPB är visserligen inte bindande för EU-kommissionen, men visar på meningsskiljaktigheter gällande förslagets förenlighet med GDPR. Om förslaget antas kommer dess förenlighet med GDPR med största sannolikhet även att utmanas på samma sätt som tidigare skyddsmekanismer för överföring av personuppgifter från EU till USA. Om beslutet då kommer gå samma öde till möte som dessa återstår likväl att se.
Erik Ullberg och Michaela Örtberg, Wistrand Advokatbyrå
UTBILDNING
» Till utbildningarVinge får ny delägare
Vinge har utnämnt skatterättsjuristen Magnus Larsén till delägare i Stockholm.