Trumps avskedande av PCLOB-ledamöter och dess påverkan på överföring av personuppgifter till USA
Absolut ingen har missat de senaste månadernas kaos och nyckfullhet efter att en viss amerikansk president för andra gången satte sig ned och började vifta med sin penna i Vita Huset. Nyhetskanaler har rapporterat flitigt om det ena och det andra, men det är en särskild nyhet som har fått privacy-specialister runt om i EU att vakna kallsvettiga på natten – är det här en dröm, eller är det här verklighet?
Allt började när ett pressmeddelande från den relativt okända amerikanska myndigheten PCLOB skickades ut 27e januari i år, endast en vecka efter att Donald Trump återigen installerats som USA:s president. I pressmeddelandet står det:
“The White House terminated Chair Sharon Bradford Franklin, and Members Ed Felten and Travis LeBlanc from their positions as of 5 p.m. last Thursday. The agency, however, has significant ability to continue functioning with its full staff and remaining Member Beth Williams to continue the Board’s important mission, including its advice and oversight functions, and its current projects. The Board looks forward to moving ahead on additional projects formally following the nomination, confirmation, and appointment of new Members.” [1]
Jaha, säger du, vad har detta med mig att göra? Jo, det här äventyrar den grund som personuppgifter kan överföras till USA på. Vi som just kunnat andas ut efter alla vändor med Schrems I och II måste återigen samla krafterna och fundera på vad GDPR säger om överföring… Men låt oss ta det i tur och ordning.
1. Vad är PCLOB?
Privacy and Civil Rights Oversight Board (PCLOB) är en amerikansk ”oberoende” myndighet vars syfte är att övervaka hur de federala myndigheternas arbete med att motverka terrorism är balanserat mot den personliga integriteten och de medborgerliga friheterna [2].
Myndigheten etablerades som en konsekvens av 9/11 och de lagar som efterföljde 9/11 där amerikanska myndigheter fick utökade befogenheter i att arbeta mot terrorism. I praktiken ledde lagarna till att större inskränkningar i medborgarnas fri- och rättigheter var tillåtna. Den kommission som föreslog lagarna ansåg att myndigheternas utökade befogenheter behövde balanseras genom ett organ som övervakade vad myndigheterna gjorde och som kunde rapportera överträdelser (här efter finns en längre historia om om-organiseringar eftersom PCLOB inte alls har visat sig vara särskilt oberoende, men en diskussion om den amerikanska presidentens makt tar vi en annan gång och potentiellt i ett annat forum). Viktigt att ta med sig är att PCLOBs uppgift är att agera vakthund åt medborgarnas fri- och rättigheter [2].
Organisatoriskt styrs PCLOB av fem stycken ledamöter, varav en är ordförande på heltid och resterande fyra är medlemmar på deltid. Ledamöter utses av presidenten och måste sedan godkännas av senaten innan de får sin plats. Ledamöterna sitter i sex år, men det finns inte definierat under vilka omständigheter ledamöter kan sägas upp eller av vem. Av de fem ledamöterna får endast tre tillhöra samma politiska parti. För att PCLOB ska kunna beslutsmässig måste minst tre ledamöter vara närvarande. Den uppmärksamme läsaren noterade att det nämns endast fyra namn i pressmeddelandet: Sharon Bradford Franklin, Ed Felten, Travis Leblanc och Beth Williams. Den femte platsen är alltså vakant, och har varit under en längre tid. President Biden gav förslag på en femte ledamot i juni 2024, men senaten godkände inte förslaget [3].
Nu har alltså President Trump avskedat tre av fyra ledamöter (en inte så liten detalj i sammanhanget är att de tre avskedade ledamöterna sällar sig till Demokraterna och Beth Williams som får sitta kvar sällar sig till Republikanerna, men detta ska vi inte heller diskutera vidare). PCLOB har i nuläget alltså ingen beslutsmässighet och bedömare menar att det kan ta flera år innan de har beslutsmässighet igen [3].
2. Vad är DPF?
Data Privacy Framework Program (DPF) är en form av överföringsmekanism som möjliggör överförandet av europeiska medborgares personuppgifter till USA. Rent tekniskt har DPF fått ett så kallat adekvansbeslut av EU-kommissionen, precis som länder som Brasilien, Japan och Storbritannien har fått. Generellt sett lutar sig adekvansbeslut mot den lagstiftning som finns i ett land, dvs. att den lagstiftningen uppfyller de krav som GDPR har för EU-länder. DPF delar inte riktigt samma grund som övriga adekvansbeslut då DPF istället är en form av självcertifiering som amerikanska bolag kan genomföra [4].
Självcertifieringen innebär att deltagande amerikanska organisationer påvisar efterlevnad mot ett ental detaljerade integritetskrav och offentligt lovar att följa de principer som ställs i DPF. En organisation som har genomfört självcertifieringen och som är dokumenterade i en lista på DPF:s hemsida anses därmed skydda personuppgifter på ett adekvat sätt [4]. En organisation som är självcertifierad i DPF är alltså lagligt bundna till att efterleva de centrala principerna i GDPR. Eftersom USA inte har en lagstiftning på federal nivå som GDPR är för EU-länder krävs det att enskilda organisationer deltar i DPF för att dataöverföringar ska vara godkända (generellt sett). Organisationer som medverkar i DPF är skyldiga att årligen genomföra en revision av självcertifieringen för att påvisa efterlevnad.
I adekvansbeslutet från EU-kommissionen framgår att eftersom de amerikanska underrättelsetjänsterna övervakas av PCLOB minskar risken för att underrättelseverksamhet går ut över europeiska medborgare [5].
Men från dag 1 har DPF mötts av kritik, och bland annat noyb med Max Schrems i täten har menat att det som gjorde att tidigare överföringsmekanismer Safe Harbour och Privacy Shield inte överlevde bara delvis har blivit bättre i och med DPF (läs gärna min kollegas tidigare blogg om DPF).
3. Vad har hänt?
En särskild viktig del i EU-kommissionens adekvatsbeslut för DPF är PCLOB:s mandat att granska de amerikanska underrättelsetjänsterna. Nu när PCLOB inte längre har beslutsmässighet har de inte heller möjlighet att starta nya granskningar av underrättelseverksamheten – det är här problemet ligger. Om DPF inte kan efterlevas av de amerikanska parterna, är det då effektivt?
Adekvatsbeslut från EU-kommissionen granskas regelbundet. Den första granskningen av DPF genomfördes under sommaren 2024 och då fastslog EU-kommissionen att DPF fortfarande erhöll en adekvat skyddsnivå [6]. I samband med detta lovade EU-kommissionen att de kontinuerligt kommer att följa PCLOB:s arbete, vilket ju nu sannolikt kommer att avstanna. EU-kommissionens nästa planerade granskning av DPF sker år 2027, frågan är om DPF kommer att hålla hela vägen dit om nya ledamöter inte tillsätts snart nog…
4. Vad ska vi göra nu?
Det är viktigt att notera att endast EU-kommissionen och EU-domstolen har mandat att fatta beslut om adekvansbeslutet för DPF. Nationella dataskyddsmyndigheter har ingen direkt möjlighet att påverka beslutet [7].
Det ska även påpekas att DPF:s adekvansbeslut inte endast vilar på PCLOB som granskare av amerikanska underrättelsetjänster. Det finns flera mekanismer som gör att DPF har bedömts vara adekvat, såsom tjänstemän med ansvar för integritet och medborgerliga rättigheter och oberoende generalinspektörer som granskar justitiedepartementets verksamhet [5].
Med det sagt framstår det som relativt trögt för ett nytt beslut om DPF:s adekvata skyddsnivå inom kort. Men det är inget som man bör sitta och vänta på, det är bättre att försöka vara något pro-aktiv i sin överföring av personuppgifter till USA. Den norska dataskyddsmyndigheten Datatilsynet skriver att en exit-strategi bör etableras för företag som överför personuppgifter till USA med hjälp av amerikanska tjänster. Utöver en exit-strategi bör företag också fundera på om det finns några andra tillämpliga sätt för överföring av personuppgifter, menar Datatilsynet [8]. Även IMY menar att svenska organisationer bör fundera på alternativa överföringsmekanismer om fler stormar kring DPF ligger i horisonten [9]. Dock, menar jag, är det svårt att säga hur bråttom det är att ta fram exit-strategier och etablera andra överföringsmekanismer. Överföringsmekanismer såsom Standard Contractual Clauses (SSC) kan ta lång tid att etablera – so better late than sorry kan väl appliceras här?
Det är, precis som med allt annat när det gäller USA just nu, ett mycket osäkert läge som kan förändras oerhört snabbt. Det är omöjligt att idag säga vad framtiden kommer att ge oss när det gäller dataöverföring till USA. Slutsatsen är att det viktigaste är att följa vad EU-kommissionen och nationella dataskyddsmyndigheter säger, samt att ha lite koll på vad som sker med PCLOB.
OBS! Bilden är AI-genererad och föreställer inte den riktiga Beth Williams.
Referenser
[1] PCLOB:s pressmeddelande https://documents.pclob.gov/prod/Documents/EventsAndPress/994df0d6-6bae-4284-a95f-3f3699e0a0f0/PCLOB%20press%20release%20(1-27-25)%20-%20508%20Complete.pdf
[2] PCLOB:s webbsida https://www.pclob.gov/
[3] Lawfare media om DPF https://www.lawfaremedia.org/article/trump-s-sacking-of-pclob-members-threatens-data-privacy
[4] DPF:s webbsida https://www.dataprivacyframework.gov/Program-Overview
[5] Adekvansbeslutet för DPF https://eur-lex.europa.eu/legal-content/SV/TXT/PDF/?uri=CELEX:32023D1795
[6] IAPP om EU-kommissionens granskning av DPF https://iapp.org/news/a/european-commission-report-reviews-progress-of-eu-us-dpf
[7] Forum för Dataskydd om DPF https://dpforum.se/det-blaser-kring-datadelningsavtalet-med-usa/
[8] Norska Datatilsynet om DPF https://www.datatilsynet.no/aktuelt/aktuelle-nyheter-2025/informasjon-om-overforinger-til-usa/
[9] IMY om DPF https://www.imy.se/blogg/overforing-av-personuppgifter-till-usa-vad-galler/