Som har framgått av mina tidigare expertkommentarer, är frågan om överföring av personuppgifter till land utanför EU/EES i många fall central vid avtal om utkontraktering och andra it-avtal inom offentlig sektor. Dessutom händer det mycket på området.
Nyligen nåddes vi av den glädjande nyheten att EU-kommissionen och USA har träffat en principöverenskommelse om ett nytt ramverk för överföring av personuppgifter från EU till USA. Det nya ramverket syftar till att förstärka Privacy Shield, som underkändes av EU-domstolen i det så kallade Schrems II-målet, och förenkla överföringar av personuppgifter till USA.
I denna expertkommentar kommer jag in på vad som hittills är känt om principöverenskommelsen, när en slutlig överenskommelse kan tänkas finnas på plats och möjliga konsekvenser av ett ”nytt” Privacy Shield.
Grundstenar i principöverenskommelsen
EU-domstolen bedömde i Schrems II-målet att det skydd som gavs i Privacy Shield var för svagt och att amerikanska myndigheter hade alltför generella möjligheter att genom övervakningsprogram som Prism och Upstream få åtkomst till personuppgifter. Domstolen angav även bland annat att de personer som drabbades av övervakningen inte hade tillgång till effektiva rättsmedel.
Den nya principöverenskommelsen syftar till att läka de brister som EU-domstolen fann i Schrems II-målet. Enligt ett faktablad från Vita Huset har USA förbundit sig att implementera nya säkerhetsåtgärder för att se till att övervakningsprogrammen är nödvändiga och proportionella. USA ska även ta fram en ny mekanism för individer inom EU som ger dem möjlighet till rättsmedel om de anser att de har blivit föremål för olagliga övervakningsåtgärder.
Följande anges särskilt:
- Insamling av data via signalspaning får ske endast när det är nödvändigt för att uppnå legitima nationella säkerhetsmål. Insamlingen får inte oproportionerligt inverka på skyddet av enskildas integritet och fri- och rättigheter.
- Individer inom EU har möjlighet till rättsmedel genom en ny mekanism i flera instanser. Detta inkluderar en oberoende ”Data Protection Review Court” som ska bestå av personer utanför USA:s regering, vilka kommer att ha full behörighet att bedöma anspråk från individer och besluta om sanktioner.
- Underrättelsemyndigheter i USA kommer att ta fram processer för att tillförsäkra en effektiv översyn av nya standarder för integritetsskydd och skydd av fri- och rättigheter.
Det är tydligt att de beskrivna åtgärderna syftar till att uppfylla de väsentliga europeiska garantierna som tagits fram av den Europeiska Dataskyddsstyrelsen och som jag berört i tidigare expertkommentarer.
De väsentliga europeiska garantierna kan användas för att bedöma om lagstiftningen i mottagarlandet har en tillräckligt hög skyddsnivå för att en överföring av personuppgifter till det landet ska kunna ske.
Tidsplan
Det återstår ytterligare arbete med överenskommelsen innan den har tagit slutlig form. Den ska dessutom gå igenom en omfattande process inom EU:s instanser, vilket beräknas ta flera månader. I USA kan presidenten anta överenskommelsen genom en så kallad Executive Order.
Det är högst sannolikt att en slutlig överenskommelse om ett ”nytt” Privcacy Shield kommer att träffas. Ett nytt ramverk kommer dock inte att finnas på plats förrän om ett antal månader.
Tills vidare gäller alltså att offentlig sektor och företag och andra organisationer som vill använda sig av amerikanska leverantörer, till exempel molntjänstleverantörer, måste förlita sig på de verktyg som jag har skrivit om i tidigare expertkommentarer. Dessa är bland annat standardavtalsklausuler, att göra en Transfer Impact Assessment och en konsekvensbedömning.
En titt in i framtiden
Det är naturligtvis svårt att sia om vad som kommer att hända med ett nytt Privacy Shield-ramverk i framtiden. Ett rimligt antagande är dock att även det nya ramverket kommer att utmanas, till exempel av Max Schrems och hans organisation NOYB.
I ett sådant fall lär Privacy Shield-ramverket – denna gång i moderniserad form – återigen hamna hos EU-domstolen för prövning. Om det nya ramverket kommer att stå sig vid en sådan prövning är omöjligt att säga i nuläget.
En viktig faktor blir vad EU-domstolen kommer att anse om de nya åtgärder som föreslås för att stärka skyddet för integritet och fri- och rättigheter för individer inom EU. Kommer domstolen att komma fram till att de överensstämmer med de europeiska väsentliga garantierna eller inte?
Ett nytt ramverk för överföring av personuppgifter från EU till USA skulle onekligen underlätta och skapa klarhet vid offentlig sektors utkontraktering till amerikanska leverantörer. Det blir spännande att följa det fortsatta arbetet med ramverket och hur det kommer att tas emot.
Peter Nordbeck
Advokat, Advokatfirman Delphi
Kommentatorerna ansvarar för sina egna kommentarer