Privacy Shield 2.0?
Skyddet för personuppgifter vid tredjelandsöverföring, dvs när personuppgifter behandlas utanför EU, har länge varit ett problematiskt område. Sedan EU-domstolen (EUD) i Schrems II-målet underkände och ogiltigförklarade Privacy Shield och fastslog att det inte gav ett tillräckligt skydd för överföring av personuppgifter från EU till USA, har det i många fall varit svårt att använda amerikanska molntjänster från ex Google, Amazon och Microsoft, utan att bryta mot GDPR. Nu har dock president Joe Biden undertecknat en order om införandet av ett nytt ramverk för dataöverföring mellan EU och USA, som ska förenkla överföring av personuppgifter till USA.
Ogiltigförklarandet av Privacy Shield bottnade i att amerikansk rätt saknar ett tillräckligt skydd för personuppgifter motsvarande skyddet i EU-rätten. Enligt amerikansk rätt kan nämligen underrättelsetjänster bl a inhämta personuppgifter om utländska medborgare som lagras hos vissa amerikanska företag, vilket strider mot GDPR. EUD begränsade även möjligheten för verksamheter att använda s k standardavtalsklausuler vid dataöverföring till USA, vilket varit ett alternativ till Privacy Shield. För att säkerställa en adekvat skyddsnivå vid tredjelandsöverföring till USA krävs därför nu kompletterande skyddsåtgärder. Dessa är inte alltid praktiska eller ens möjliga att införa, varför det nya ramverket är efterlängtat.
Ramverket innehåller bl a nya krav gällande amerikansk signalspaning och utökat skydd för privatpersoners uppgifter. Därtill ska en ny prövningsprocess inrättas för klagomål gällande insamling och behandling av personuppgifter. Första instans är den amerikanska regeringens Civil Liberties Protection Officer, vars beslut ska kunna överklagas till en ny dataskyddsöverdomstol.
Med ramverket som grund kan EU-kommissionen nu anta ett beslut om adekvat skyddsnivå för USA, dvs att landet anses ha en tillräckligt hög skyddsnivå. Då kan personuppgifter baserat på Kommissionens beslut framöver överföras till USA utan särskilt tillstånd, så länge förutsättningarna i beslutet är uppfyllda. Det kommer dock dröja innan detta blir verklighet. Först ska Kommissionen ta fram ett utkast till beslut om adekvat skyddsnivå, som sedan bl a ska remitteras till Europeiska dataskyddsstyrelsen för utlåtande och godkännas av medlemsstaterna, innan ett formellt beslut kan antas. Prognosen är att det i bästa fall kan ske under 2023.
Ramverket syftar till att åtgärda de brister som adresserades i Schrems II. Förhoppningen är därför att det ska klara en eventuell framtida prövning av EUD. Viss osäkerhet råder dock med tanke bl a på att den order som Biden undertecknat inte utgör lag utan närsomhelst kan dras tillbaka. Vidare finns tveksamheter kring om den prövningsprocess som ska inrättas uppfyller EU-rättens krav på rättslig prövning. Därtill återstår att se om USA i praktiken kommer ändra sin utbredda övervakning. Tills vidare fortlöper alltså osäkerheten kring användandet av vissa molntjänster.