EDPB riktar kritik mot EU-kommissionens förslag till beslut om adekvat skyddsnivå för USA

I slutet av 2022 lämnade EU-kommissionen ett förslag till beslut om adekvat skyddsnivå för USA, vilket syftar till att göra det möjligt att överföra personuppgifter från EU till USA utan krav på ytterligare skyddsåtgärder. Det föreslagna beslutet kritiseras nu av den Europeiska dataskyddsstyrelsen (”EDPB”) som bland annat anser att förslaget bör förtydligas i fråga om de registrerades rättigheter och den amerikanska underrättelseverksamhetens möjlighet att få tillgång till personuppgifter.

Överföringar av personuppgifter till tredje land (det vill säga länder utanför EU/EES) får endast ske under vissa förutsättningar, till exempel om lämpliga skyddsåtgärder har vidtagits. Ett annat exempel är om EU-kommissionen har fattat beslut om att ett tredje land har en tillräckligt hög skyddsnivå (en så kallad adekvat skyddsnivå). Om ett sådant beslut finns får personuppgifter överföras till landet i fråga utan att några ytterligare skyddsåtgärder behöver vidtas för själva överföringen.

I Schrems II-domen ogiltigförklarade EU-domstolen Privacy Shield-avtalet mellan EU och USA, eftersom det inte bedömdes medföra en tillräcklig skyddsnivå för personuppgifterna. Det innebär att företag i praktiken har att använda modellklausulerna från EU-kommissionen (SCC) eller Binding Corporate Rules (BCR) för att överföra personuppgifter till USA. Båda dessa överföringsmekanismer har dock ansetts ge ett otillräckligt skydd vid överföring av personuppgifter till USA på grund av amerikansk underrättelselagstiftning.

Sedan Schrems II-domen har USA och EU därför arbetat på att ta fram en lösning som ska ersättar Privacy Shield. Som ett led i detta arbete undertecknade USA:s president Joe Biden den 7 oktober 2022 ett presidentdekret, som syftar till att åtgärda de brister som EU-domstolen fann i Privacy Shield-avtalet. I december förra året publicerade EU-kommissionen ett utkast till nytt beslut om adekvat skyddsnivå för USA som bygger på de nya regler som fastställs i presidentdekretet och EU-US Data Privacy Framework (”DPF”).

Den 28 februari 2023 lämnade EDPB ett yttrande om EU-kommissionens utkast till beslut om adekvat skyddsnivå för USA. I yttrandet framförs att det genom USA:s antagande av presidentdekretet bland annat införs krav på nödvändighet och proportionalitet för insamling av personuppgifter inom den amerikanska underrättelseverksamheten vilket, enligt EDPB, medför betydande förbättringar för skyddet av personuppgifter. EDPB välkomnar också inrättandet av en Data Protection Review Court (DPRC), en mekanism som gör att EU-invånare kan söka rättelse.

EDPB har dock identifierat flera delar av det föreslagna beslutet som man anser bör förtydligas ytterligare. Bland annat anser EDPB att det behöver förtydligas vilket skydd personuppgifter åtnjuter då de är föremål för tillfällig massinsamling (”temporary bulk collection”) enligt amerikansk lagstiftning.

EDPB:s riktar även, på en generell nivå, kritik mot bland annat förslagets struktur som anses vara för komplext, vilket riskerar medföra en bristande förståelse för beslutets principer hos registrerade, organisationer och dataskyddsmyndigheter. EDPB konstaterar även att viss kritik som tidigare väckts i samband med Privacy Shield fortfarande kvarstår, bland annat brister i förhållande till de registrerades rättigheter.

EDPB anser att beslutet om adekvat skyddsnivå för USA varken ska antas eller träda i kraft förrän de ytterligare policys och rutiner som ska genomföra presidentdekretet på amerikansk nivå är på plats. EU-kommissionen är enligt GDPR skyldiga att samråda med EDPB, men de är inte rättsligt bundna av den kritik som EDPB framfört och måste därför inte revidera förslaget i enlighet med yttrandet.

Nästa steg är att EU-kommissionens förslag till beslut om adekvat skyddsnivå för USA ska bedömas av artikel 93-kommittén. Förhoppningen har tidigare varit att ett beslut om adekvat skyddsnivå för USA ska finnas på plats före sommaren 2023, men det är bland annat beroende av om några ändringar av förslaget till adekvansbeslut kommer genomföras baserat på EDPB:s kritik och eventuell kritik från artikel 93-kommitén, samt hur lång tid dialogen kring detta i så fall tar. Det ska även tilläggas att ett slutligt adekvansbeslut troligtvis, efter att det trätt i kraft, kommer att utmanas av intresseorganisationer inom EU och det återstår att se om beslutet i en eventuell domstolsprövning kommer att stå sig.

Cederquist följer noga utvecklingen kring antagande av ett adekvansbeslut för USA. Om du har några frågor kring överföring av personuppgifter, eller några andra dataskyddsrelaterade ärenden, är du varmt välkommen att höra av dig till oss. Här kan du läsa EDPB:s yttrande i sin helhet.