Simovits

Data Privacy Framework – en tillbakablick och skillnader gentemot Privacy Shield

Blogg oktober 2023

Den 7 oktober 2022 signerade USA:s president Joe Biden Executive Order 14086 om att införa ramverket EU-US Data Privacy Framework (DPF). Den 28 februari 2023 lämnade Europeiska dataskyddsstyrelsen (EDPB) sitt yttrande gällande EU-kommissionens förslag till ramverket och den 10 juli 2023 antog EU-kommissionen DPF. Beslutet från EU-kommissionen innebär att USA anses erbjuda en adekvat skyddsnivå för personuppgifter som är likvärdigt skyddet som erbjuds inom EU. Överföring av personuppgifter till USA är därmed tillåtet om den mottagande organisationen har anslutit sig till DPF. Om den mottagande organisationen anslutit till DPF kan europeiska organisationer använda amerikanska tjänster utan att kompletterande skyddsåtgärder behöver vidtas.

Bakgrund

Figur 1 beskriver en övergripande tidslinje av större händelser inom området dataskydd med fokus på överföringar mellan EU och USA. Den efterföljande texten kommer övergripande förklara de händelser som lett fram till dagens situation.

1980 utfärdade Organisationen för ekonomiskt samarbete och utveckling (OECD) rekommendationer för skydd av personuppgifter som bestod av åtta icke-bindande principer. Principerna ämnade att skapa ett omfattade dataskydd för alla medborgare i Europa. Dessa principer kan nedan (ingen översättning kommer utföras så att författarens översättning inte bidrar till informationsförluster):

Rekommendationerna och riktlinjerna från OECD var icke-bindande och dataskyddslagar inom Europa skiljde sig enormt vid den här tidpunkten. Efter att gränsen mellan Öst- och Västtyskland öppnades och den östtyska polisens (Stasi) datainsamling blev känd, insåg Europeiska kommissionen att åtskilda datalagar mellan EU-medlemmar hindrar det fria flödet av data inom EU och EU-kommissionen föreslog därmed Data Protection Directive.

Direktivet är föregångaren till GDPR och antogs oktober 1995 i vilket enhetliga datalagar fastställdes för alla medlemstater i EU. Direktivet införde flera av de delar som ligger till grund för GDPR idag och använde flera av de principer som utfärdades av OECD 1980. Enligt Data Protection Directive fick inte företag inom EU överföra personuppgifter till tredje länder utanför EEA såvida inte det tredje landet kunde garantera en adekvat skyddsnivå. Därmed behövde bland annat USA etablera dataskyddslagar som garanterade samma skyddsnivå som i EU för att data skulle kunna flöda fritt från EU till USA. Vilket utmynnade i Safe Harbour principerna som antogs i juli 2000.

Safe Harbour bestod av ett program till vilket amerikanska företag kunde ansluta sig till om de kunde upprätthålla de principer som Safe Harbour utgjordes av. Företag i USA kunde självcertifiera sig mot principerna. Förfarandet med självcertifiering har fått kritik vid flera tillfällen, bland annat utförde en australiensisk konsultbyrå en granskning som visade på att flera företag som hade anslutit till Safe Harbour inte kunde leva upp till kraven. Det skulle ta 15 år från att Safe Harbour antogs till att det ogiltigförklarades till följd av Schrems I målet.

Den 6 oktober 2015 ogiltigförklarades Safe Harbour och den 29 oktober 2015 hade ett nytt utkast till Safe Harbour 2.0 tagits fram. Den 12 juli 2016 antogs Privacy Shield och som senare ogiltigförklarades 16 juli 2020. Schrems II-målet fastslog EU-domstolen att Privacy Shield-avtalet mellan EU och USA inte erbjöd tillräckligt skydd för överföring av personuppgifter till USA. Anledningen till detta var att USA:s lagstiftning hade flera brister som hindrade skyddet av personuppgifter och stred mot GDPR. Domstolen framhöll särskilt de omfattande möjligheterna till övervakning enligt amerikanska nationella säkerhetslagar som US Foreign Intelligence Surveillance Act (FISA) section 702, Executive Order 12333 och Presidential Policy Directive 28. Dessa lagar reglerade hur amerikanska myndigheter fick åtkomst till och använde personuppgifter som överfördes från EU till USA, och de saknade adekvata kontroller för att skydda EU-medborgares uppgifter som användes i nationella säkerhetsutredningar. Domstolen noterade också att de registrerades rättigheter inte kunde åberopas i domstol mot amerikanska myndigheter. Privacy Shield hade visserligen infört en skyddsmekanism i form av en ombudsman, men denna roll hade inte befogenhet att fatta bindande beslut för amerikanska underrättelsetjänster.

Ogiltigförklarandet av Privacy Shield har lett till en stor ovisshet för företag hur de kan och får överföra/lagra personuppgifter i amerikanska tjänster. EDPB:s vägledning för hur detta skulle hanteras var inte helt enkla att genomföra, bland annat så skulle det, om SCC eller BCR användas för överföring, för varje enskilt fall väga in omständigheter för överföringen samt vilka ytterligare skyddsåtgärder som, skulle kunna införas, för att uppnå en tillräcklig skyddsnivå av uppgifter som inte påverkas av landets lagar. Varje organisation som överförde personuppgifter till tredje land skulle därmed, för varje enskild överföring som förlitade sig på SCC eller BCR, utvärdera om det tredje landets lagar inte inskränker på de personuppgifter som överfördes eller lagrades där. Det är i stort sett omöjligt för organisationer att besitta den kompetensen att kunna utvärdera tredje länders lagar. Därmed är den nya DPF välkomnande för flera organisationer.

DPF övergripande skillnader mot Privacy Shield

Att DPF antogs av EU-kommissionen beror till stor del på det presidentdekret, EO14086, som Joe Biden skrev under förra hösten. De åtgärder som infördes i och med EO14086 uppstod i syfte att hantera problemen som Schrems II uppmärksammade. För EU-medborgare vars personuppgifter överförs till USA ska EO14086 erbjuda:

EU-kommissionen kommer årligen att genomföra utvärderingar av DPF tillsammans med representanter för europeiska dataskyddsmyndigheter och behöriga amerikanska myndigheter. Den första utvärderingen kommer att äga rum ett år efter att beslutet om adekvat skydd trätt i kraft, dvs 10 juli 2024. Utvärderingen skall utreda att alla relevanta delar av regelverket införlivats och fungerar effektivt. Beroende på utfallet av den första utvärderingen kommer EU-kommissionen avgöra frekvens på kommande utvärderingar, men dessa kommer minst att ske vart fjärde år.

Sammanfattande ord

DPF innebär att det nu är tillåtet att använda amerikanska verktyg och tjänster som tillhandahålls av företaget som anslutits till ramverket och utan att ytterligare säkerhetsåtgärder behöver vidtas. Flera större företag har anslutit till DPF så som Google, Meta och Amazon.

Dock har intresseorganisationen None of your business (Noyb), med Max Schrems som ordförande, uttryckt kritik mot beslutet och har meddelat att det kan komma ett tredje mål som utmanar beslutet, dvs Schrems III.

Noyb hävdar att:

Författaren tror dock att ett avgörande i domstol ligger ca 4-5 år fram i tiden om Max Schrems behöver gå så långt. Dock, kan förfarandet gå mycket snabbare om en annan president flyttar in i Vita Huset och river upp EO 14086, vilket skulle kunna inträffa redan nästa år.

Däremot eftersom Schrems och NOYB redan har motsatt sig överföringsmekanismen bör organisationer vara medvetna om att detta inte kommer gälla för evigt och man bör övervaka adekvatsbeslutet samt potentiella rekommendationer som EDPB utfärdar.

Referenser

[1] – https://habeasdatacolombia.uniandes.edu.co/wp-content/uploads/OECD_Privacy_Guidelines_1980.pdf

[2] – https://ec.europa.eu/commission/presscorner/detail/en/qanda_23_3752

[3] – https://noyb.eu/en/european-commission-gives-eu-us-data-transfers-third-round-cjeu