11/10-2022

Ett steg närmre adekvansbeslut för överföringar av personuppgifter till USA

I fredags (den 7 oktober) signerade USA:s president Joe Biden en presidentorder med syfte att underlätta överföring av personuppgifter till USA från EU. Det är ett steg i ledet mot att EU-kommissionen ska kunna fatta ett beslut om adekvat skyddsnivå för USA vilket kan utgöra en rättslig grund för överföringarna. Ett faktiskt adekvansbeslut är troligtvis att vänta som tidigast under våren 2023, men kan även dröja längre än så.

Bakgrund

Överföringar av personuppgifter till USA har de senaste åren diskuterats flitigt med anledning av den så kallade Schrems II-domen från 2020. Enligt dataskyddsförordningen (GDPR) får överföringar till länder utanför EU nämligen endast ske under vissa förutsättningar. Med anledning av att USA:s långtgående lagstiftning inte ansågs nå upp till de höga krav som EU ställer upp för skydd av personuppgifter, har två tidigare adekvansbeslut underkänts av EU-domstolen – ”Safe Harbour” som underkändes genom domen Schrems I och ”Privacy Shield” genom domen Schrems II.

När ett giltigt adekvansbeslut finns kan den som vill överföra personuppgifter förlita sig på beslutet och behöver inte vidta några särskilda åtgärder för överföringen. Andra s.k. överföringsmekanismer såsom standardavtalsklausuler (SCC) och bindande företagsbestämmelser kräver noggranna överväganden och eventuellt kompletterande skyddsåtgärder.

Lång väg till nytt adekvansbeslut

Den presidentorder som kom i fredags är alltså ett led i det tredje försöket att på ett enkelt sätt möjliggöra överföringar av personuppgifter till USA. EU-kommissionen kommer nu att upprätta ett utkast till ett beslut om adekvat skyddsnivå. Därefter inhämtas Europeiska dataskyddsstyrelsens (EDPB) syn på utkastet (kommissionen är däremot inte bunden till detta) samt grönt ljus från en kommitté med representanter från EU-medlemsstaterna. Även EU-parlamentet har rätt att granska EU-kommissionens utkast till adekvansbeslut. Kommissionen kan i nästa steg fatta ett adekvansbeslut i enlighet med dataskyddsförordningens artikel 45 om att de anser skyddsnivån i USA vara tillräcklig stark för att personuppgifter ska kunna överföras. Ett sådant adekvansbeslut kan också ställa upp förutsättningar eller begränsningar för att överföringarna ska vara tillåtna. Processen kommer troligtvis vara förhållandevis tidskrävande och ett faktiskt beslut lär som sagt tidigast vara att vänta under våren 2023.

Även om ett nytt adekvansbeslut skulle erbjuda en möjlighet att på ett enkelt sätt överföra personuppgifter till USA och amerikanska leverantörer, är presidentordern och dess faktiska effekter på amerikansk lagstiftning redan omdebatterad. Ett framtida adekvansbeslut kommer med största sannolikhet också att prövas av EU-domstolen och det är möjligt att vi framöver kommer få se en ”Schrems III” med ett underkännande av ännu en överföringsmekanism.

Oklart rättsläge till dess ett nytt adekvansbeslut finns

Tills ett nytt adekvansbeslut finns måste den som vill överföra personuppgifter till USA förlita sig på andra överföringsmekanismer och noggrant analysera rättsläget. Martin Brinnen, Senior Specialist på Kahn Pedersen har i en tidigare artikel gått igenom det nuvarande rättsläget och användning av amerikanska molntjänster:

https://www.realtid.se/ar-all-anvandning-av-amerikanska-molntjanster-forbjuden-enligt-gdpr/

Vita husets faktablad gällande presidentordern hittar du här:

https://www.whitehouse.gov/briefing-room/statements-releases/2022/10/07/fact-sheet-president-biden-signs-executive-order-to-implement-the-european-union-u-s-data-privacy-framework/

Fler insikter

Se alla nyheter och publikationer