Enligt GDPR är överföringar av personuppgifter till mottagare utanför EU/EES, som huvudregel, förbjudna och får enbart genomföras om något av undantagen som uppställs i GDPR är uppfyllda (artikel 49 GDPR). Exempel på sådana undantag är om EU-kommissionen fattat beslut om adekvat skyddsnivå för mottagarlandet eller om lämpliga skyddsåtgärder, som exempelvis standardavtalsklausuler[1], vidtagits (artikel 45 och 46 GDPR).

Under årens lopp har flera överenskommelser träffats mellan EU och USA för att underlätta transatlantiska överföringar av personuppgifter. Det så kallade Safe Harbour-beslutet[2] tillkom under 2000 och möjliggjorde överföringar till organisationer i USA som hade åtagit sig följa beslutets principer avseende dataskydd. Beslutet ogiltigförklarades dock av EU-domstolen under 2015 genom Schrems I-målet.[3]

Under 2016 träffades ytterligare en överenskommelse mellan EU och USA, det så kallade Privacy Shield-beslutet[4]. Likt Safe Harbour innebar Privacy Shield att amerikanska organisationer, genom självcertifiering, kunde intyga att de uppfyllde särskilda krav avseende dataskydd. Sådan certifiering utgjorde giltig grund för överföring till USA då uppgifterna ansågs garanteras en adekvat skyddsnivå.

Under 2020 ogiltigförklarades dock även Privacy Shield-beslutet av EU-domstolen genom det mycket uppmärksammade Schrems II-målet[5], och en hel värld sattes i gungning.

Livet efter Schrems II

Schrems II-målet försvårade EU-baserade bolags användning av amerikanska tjänsteleverantörer i betydande utsträckning, vilket föranledde stor frustration hos organisationer.

Utöver att Privacy Shield ogiltigförklarades fastslog även EU-domstolen att aktörer som överför personuppgifter utanför EU/EES inte per automatik kan utgå från att användningen av standardavtalsklausuler ensamt tillförsäkrar personuppgifterna ett fullgott skydd i mottagarlandet. Krav uppställdes därför på att en bedömning i varje enskilt fall skulle göras, innan överföringen genomförs, för att utröna behovet av ytterligare skyddsåtgärder (en så kallad Transfer Impact Assessment).

Under tiden har dataskyddsmyndigheter runt om i Europa hunnit meddela flera tillsynsbeslut avseende olagliga överföringar till USA[6]. Så sent som i juli 2023 meddelade Integritetsskyddsmyndigheten (”IMY”) tillsynsbeslut mot fyra svenska bolag med anledning av deras användning av Google Analytics, i vilka det fastslogs att personuppgifter hade överförts till USA utan adekvata skyddsåtgärder.[7]

När en principiell överenskommelse mellan EU och USA för att underlätta transatlantiska överföringar offentliggjordes den 25 mars 2022, skymtades dock ljuset i slutet av tunneln. En tid därefter, den 13 december 2022, publicerade EU-kommissionen ett utkast till nytt beslut om adekvat skyddsnivå. Efter en tids väntan och ingående granskningar av flertalet EU-organ antogs ett slutligt beslut den 10 juli 2023, benämnt EU-US Data Privacy Framework[8].

EU-US Data Privacy Framework

EU-US Data Privacy Framework innebär att amerikanska organisationer, genom att åta sig följa ett antal dataskyddsskyldigheter, kan ansluta sig till ramverket genom självcertifiering. Vid anslutning anses en adekvat skyddsnivå tillförsäkras de personuppgifter som är föremål för överföring till sådana organisationer. Därav behöver varken ytterligare skyddsåtgärder vidtas eller en Transfer Impact Assessment genomföras.

De skyldigheter som följer av ramverket syftar huvudsakligen till att åtgärda de brister i amerikansk rätt som uppmärksammats av EU-domstolen i Schrems II-målet. Exempelvis uppställs krav på att personuppgifter ska raderas när dessa inte längre är nödvändiga för att uppnå de ändamål för vilka de samlades in, samt krav på att säkerställa fortsatt skydd för personuppgifter när dessa delas med tredje part.

Vidare tillförsäkras de personer i EU vars personuppgifter behandlas, möjlighet till rättslig prövning om de anser att personuppgifterna hanterats felaktigt. Detta bland annat genom kostnadsfria mekanismer för oberoende tvistlösning. Även amerikanska myndigheters tillgång till personuppgifter begränsas till vad som är nödvändigt och proportionerligt för att skydda den nationella säkerheten.

Vad händer nu?

EU-US Data Privacy Framework började gälla samma dag som det antogs, den 10 juli 2023. Ett register över de organisationer som har anslutit sig till ramverket finns tillgängligt på en av USA:s handelsdepartement (U.S. Department of Commerce) särskilt upprättad hemsida.

Vidare har USA:s handelsdepartement bekräftat att organisationer som tidigare certifierat sig under Privacy Shield, inte åter behöver certifiera sig enligt EU-US Data Privacy Framework, under förutsättning att de följer ramverkets principer. De måste även uppdatera sina integritetspolicies inom 3 månader från ramverkets antagande, så att hänvisning görs till åtagandet att efterleva EU-US Data Privacy Framework.

EU-kommissionen kommer att tillsammans med behöriga amerikanska myndigheter och europeiska dataskyddsmyndigheter regelbundet granska hur EU-US Data Privacy Framework fungerar i praktiken. Den första granskningen kommer genomföras inom ett år från det att ramverket trädde i kraft.

Viktigt att ha i åtanke är att EU-US Data Privacy Framework, likt tidigare överenskommelser, kan bli föremål för prövning och därmed ogiltigförklaras av EU-domstolen. Intresseorganisationen None of Your Business (”noyb”), som har tagit initiativ till de rättsprocesser där tidigare överenskommelser har ogiltigförklarats, har redan uttryckt att ramverket utgör en kopia av Privacy Shield och att det sannolikt kan komma att utmanas redan i slutet av 2023 eller början på 2024.[9] Kanske har vi därför att vänta ett Schrems III- mål inom kort.

Wistrand Advokatbyrå

[1] Kommissionens beslut 2021/915 av den 4 juni 2021 om standardavtalsklausuler mellan personuppgiftsansvariga och personuppgiftsbiträden enligt artikel 28.7 i Europaparlamentets och rådets förordning (EU) 2016/679 och artikel 29.7 i Europaparlamentets och rådets förordning (EU) 2018/1725.

[2] Kommissionens beslut 2000/520 av den 26 juli 2000 enligt Europaparlamentets och rådets direktiv 95/46/EG om huruvida ett adekvat skydd säkerställs genom de principer om integritetsskydd (Safe Harbor Privacy Principles) i kombination med frågor och svar som Förenta staternas handelsministerium utfärdat.

[3] EU-domstolens dom den 6 oktober 2015 i mål C-362/14, Data Protection Commissioner mot Facebook Ireland Limited och Maximillian Schrems.

[4] Kommissionens beslut 2016/1250 av den 12 juli 2016 enligt Europaparlamentets och rådets direktiv 95/46/EG om huruvida ett adekvat skydd säkerställs genom skölden för skydd av privatlivet i EU och Förenta staterna.

[5] EU-domstolens dom den 16 juli 2020 i mål C-311/18, Data Protection Commissioner mot Facebook Ireland Limited och Maximillian Schrems.

[6] Se exempelvis den österrikiska dataskyddsmyndighetens beslut samt den italienska dataskyddsmyndighetens beslut.

[7] IMY:s beslut den 30 juni i DI-2020-11397, DI-2020-11368, DI-2020-11370, samt DI-2020-11373.

[8] Commission decision of 10.7.2023 pursuant to Regulation (EU) 2016/679 of the European Parliament and of the Council on the adequate level of protection of personal data under the EU-US Data Privacy Framework.

[9] Se uttalande på noyb:s webbplats här.