Data Privacy Framework – en tillbakablick och skillnader gentemot Privacy Shield

Blogg oktober 2023

Den 7 oktober 2022 signerade USA:s president Joe Biden Executive Order 14086 om att införa ramverket EU-US Data Privacy Framework (DPF). Den 28 februari 2023 lämnade Europeiska dataskyddsstyrelsen (EDPB) sitt yttrande gällande EU-kommissionens förslag till ramverket och den 10 juli 2023 antog EU-kommissionen DPF. Beslutet från EU-kommissionen innebär att USA anses erbjuda en adekvat skyddsnivå för personuppgifter som är likvärdigt skyddet som erbjuds inom EU. Överföring av personuppgifter till USA är därmed tillåtet om den mottagande organisationen har anslutit sig till DPF. Om den mottagande organisationen anslutit till DPF kan europeiska organisationer använda amerikanska tjänster utan att kompletterande skyddsåtgärder behöver vidtas.

Bakgrund

Figur 1 beskriver en övergripande tidslinje av större händelser inom området dataskydd med fokus på överföringar mellan EU och USA. Den efterföljande texten kommer övergripande förklara de händelser som lett fram till dagens situation.

1980 utfärdade Organisationen för ekonomiskt samarbete och utveckling (OECD) rekommendationer för skydd av personuppgifter som bestod av åtta icke-bindande principer. Principerna ämnade att skapa ett omfattade dataskydd för alla medborgare i Europa. Dessa principer kan nedan (ingen översättning kommer utföras så att författarens översättning inte bidrar till informationsförluster):

• Collection Limitation Principle: There should be limits to the collection of personal data and any such data should be obtained by lawful and fair means and, where appropriate, with the knowledge or consent of the data subject.
• Data Quality Principle: Personal data should be relevant to the purposes for which they are to be used, and, to the extent necessary for those purposes, should be accurate, complete and kept up-to-date.
• Purpose Specification Principle: The purposes for which personal data are collected should be specified not later than at the time of data collection and the subsequent use limited to the fulfilment of those purposes or such others as are not incompatible with those purposes and as are specified on each occasion of change of purpose.
• Use Limitation Principle: Personal data should not be disclosed, made available or otherwise used for purposes other than those specified in accordance with Paragraph 9 except:
  • a) with the consent of the data subject; or
  • b) by the authority of law.
• Security Safeguards Principle: Personal data should be protected by reasonable security safeguards against such risks as loss or unauthorised access, destruction, use, modification or disclosure of data.
• Openness Principle: There should be a general policy of openness about developments, practices and policies with respect to personal data. Means should be readily available of establishing the existence and nature of personal data, and the main purposes of their use, as well as the identify and usual residence of the data controller.
• Individual Participation Principle: An individual should have the right:
  • a) to obtain from a data controller, or otherwise, confirmation of whether or not the data controller has data relating to him;
  • b) to have communicated to him, data relating to him
    • i) within a reasonable time;
    • ii) at a charge, if any, that is not excessive;
    • iii) in a reasonable manner; and
    • iv) in a form that is readily intelligible to him;
  • c) to be given reasons if a request made under subparagraphs (a) and (b) is denied, and to be able to challenge such denial; and
  • d) to challenge data relating to him and, if the challenge is successful, to have the data erased, rectified, completed or amended
• Accountability Principle: A data controller should be accountable for complying with measures which give effect to the principles stated above.

Rekommendationerna och riktlinjerna från OECD var icke-bindande och dataskyddslagar inom Europa skiljde sig enormt vid den här tidpunkten. Efter att gränsen mellan Öst- och Västtyskland öppnades och den östtyska polisens (Stasi) datainsamling blev känd, insåg Europeiska kommissionen att åtskilda datalagar mellan EU-medlemmar hindrar det fria flödet av data inom EU och EU-kommissionen föreslog därmed Data Protection Directive.

Direktivet är föregångaren till GDPR och antogs oktober 1995 i vilket enhetliga datalagar fastställdes för alla medlemstater i EU. Direktivet införde flera av de delar som ligger till grund för GDPR idag och använde flera av de principer som utfärdades av OECD 1980. Enligt Data Protection Directive fick inte företag inom EU överföra personuppgifter till tredje länder utanför EEA såvida inte det tredje landet kunde garantera en adekvat skyddsnivå. Därmed behövde bland annat USA etablera dataskyddslagar som garanterade samma skyddsnivå som i EU för att data skulle kunna flöda fritt från EU till USA. Vilket utmynnade i Safe Harbour principerna som antogs i juli 2000.

Safe Harbour bestod av ett program till vilket amerikanska företag kunde ansluta sig till om de kunde upprätthålla de principer som Safe Harbour utgjordes av. Företag i USA kunde självcertifiera sig mot principerna. Förfarandet med självcertifiering har fått kritik vid flera tillfällen, bland annat utförde en australiensisk konsultbyrå en granskning som visade på att flera företag som hade anslutit till Safe Harbour inte kunde leva upp till kraven. Det skulle ta 15 år från att Safe Harbour antogs till att det ogiltigförklarades till följd av Schrems I målet.

Den 6 oktober 2015 ogiltigförklarades Safe Harbour och den 29 oktober 2015 hade ett nytt utkast till Safe Harbour 2.0 tagits fram. Den 12 juli 2016 antogs Privacy Shield och som senare ogiltigförklarades 16 juli 2020. Schrems II-målet fastslog EU-domstolen att Privacy Shield-avtalet mellan EU och USA inte erbjöd tillräckligt skydd för överföring av personuppgifter till USA. Anledningen till detta var att USA:s lagstiftning hade flera brister som hindrade skyddet av personuppgifter och stred mot GDPR. Domstolen framhöll särskilt de omfattande möjligheterna till övervakning enligt amerikanska nationella säkerhetslagar som US Foreign Intelligence Surveillance Act (FISA) section 702, Executive Order 12333 och Presidential Policy Directive 28. Dessa lagar reglerade hur amerikanska myndigheter fick åtkomst till och använde personuppgifter som överfördes från EU till USA, och de saknade adekvata kontroller för att skydda EU-medborgares uppgifter som användes i nationella säkerhetsutredningar. Domstolen noterade också att de registrerades rättigheter inte kunde åberopas i domstol mot amerikanska myndigheter. Privacy Shield hade visserligen infört en skyddsmekanism i form av en ombudsman, men denna roll hade inte befogenhet att fatta bindande beslut för amerikanska underrättelsetjänster.

Ogiltigförklarandet av Privacy Shield har lett till en stor ovisshet för företag hur de kan och får överföra/lagra personuppgifter i amerikanska tjänster. EDPB:s vägledning för hur detta skulle hanteras var inte helt enkla att genomföra, bland annat så skulle det, om SCC eller BCR användas för överföring, för varje enskilt fall väga in omständigheter för överföringen samt vilka ytterligare skyddsåtgärder som, skulle kunna införas, för att uppnå en tillräcklig skyddsnivå av uppgifter som inte påverkas av landets lagar. Varje organisation som överförde personuppgifter till tredje land skulle därmed, för varje enskild överföring som förlitade sig på SCC eller BCR, utvärdera om det tredje landets lagar inte inskränker på de personuppgifter som överfördes eller lagrades där. Det är i stort sett omöjligt för organisationer att besitta den kompetensen att kunna utvärdera tredje länders lagar. Därmed är den nya DPF välkomnande för flera organisationer.

DPF övergripande skillnader mot Privacy Shield

Att DPF antogs av EU-kommissionen beror till stor del på det presidentdekret, EO14086, som Joe Biden skrev under förra hösten. De åtgärder som infördes i och med EO14086 uppstod i syfte att hantera problemen som Schrems II uppmärksammade. För EU-medborgare vars personuppgifter överförs till USA ska EO14086 erbjuda:

• Nya bindande skyddsåtgärder inom ramen för de amerikanska myndigheternas signalspaningsverksamhet. Det uppställs krav som begränsar tillgången för signalspaningsverksamhet till överförda personuppgifter till endast vad som är nödvändigt och proportionerligt för att skydda den nationella säkerheten.
• Utökad översyn över amerikanska myndigheters signalspaningsverksamhet för att säkerställa efterlevnad gentemot kraven
• Det införs en tvåstegsprocess som ger individer i EU möjlighet till oberoende prövning om deras personuppgifter hanterats på ett felaktigt sätt av amerikanska myndigheter och företag. Prövningens första steg kommer hanteras av Civil Liberties Protection Officer (CLPO) som ska avgöra om den gällande reglering följs och ta beslut om åtgärder som ska vidtas vid bristande efterlevnad. Vidare ska den amerikanska justitieminister inrätta en dataskyddsdomstol (DRPC) som ska pröva de beslut som tagits av CLPO som ett andra steg i processen.

EU-kommissionen kommer årligen att genomföra utvärderingar av DPF tillsammans med representanter för europeiska dataskyddsmyndigheter och behöriga amerikanska myndigheter. Den första utvärderingen kommer att äga rum ett år efter att beslutet om adekvat skydd trätt i kraft, dvs 10 juli 2024. Utvärderingen skall utreda att alla relevanta delar av regelverket införlivats och fungerar effektivt. Beroende på utfallet av den första utvärderingen kommer EU-kommissionen avgöra frekvens på kommande utvärderingar, men dessa kommer minst att ske vart fjärde år.

Sammanfattande ord

DPF innebär att det nu är tillåtet att använda amerikanska verktyg och tjänster som tillhandahålls av företaget som anslutits till ramverket och utan att ytterligare säkerhetsåtgärder behöver vidtas. Flera större företag har anslutit till DPF så som Google, Meta och Amazon.

Dock har intresseorganisationen None of your business (Noyb), med Max Schrems som ordförande, uttryckt kritik mot beslutet och har meddelat att det kan komma ett tredje mål som utmanar beslutet, dvs Schrems III.

Noyb hävdar att:

• Inga större skillnader har genomförts då amerikansk lagstiftning endast ger skydd mot massövervakning och individers möjlighet till oberoende prövning endast gäller amerikanska medborgare.
• FISA 702 har inte reformerats för att ge icke-amerikanska medborgare adekvat integritetsskydd.
• Dataskyddsdomstolen (DRPC) ger en viss förbättring jämfört med den tidigare ombudsmannen i Privacy Shield, dock kvarstår problemet med att amerikanska underrättelsemyndigheter inte behöver uppge om de har haft tillgång till europeiska medborgares personuppgifter.
• Det finns problem med tvistlösningsmekanismerna i DPF som skapar hinder för europeiska medborgare att kunna lämna in klagomål.

Författaren tror dock att ett avgörande i domstol ligger ca 4-5 år fram i tiden om Max Schrems behöver gå så långt. Dock, kan förfarandet gå mycket snabbare om en annan president flyttar in i Vita Huset och river upp EO 14086, vilket skulle kunna inträffa redan nästa år.

Däremot eftersom Schrems och NOYB redan har motsatt sig överföringsmekanismen bör organisationer vara medvetna om att detta inte kommer gälla för evigt och man bör övervaka adekvatsbeslutet samt potentiella rekommendationer som EDPB utfärdar.

Referenser

[1] – https://habeasdatacolombia.uniandes.edu.co/wp-content/uploads/OECD_Privacy_Guidelines_1980.pdf

[2] – https://ec.europa.eu/commission/presscorner/detail/en/qanda_23_3752

[3] – https://noyb.eu/en/european-commission-gives-eu-us-data-transfers-third-round-cjeu