Hoppa till innehåll på sidan
IMY-bloggen
En bro över ett vattendrag.

Från Schrems II till adekvat skyddsnivå

Publicerad: 20 december 2022
Schrems II-domen har satt käppar i hjulet för många överföringar av personuppgifter från EU till USA. Nu har EU-kommissionen publicerat ett utkast till nytt beslut om adekvat skyddsnivå för USA. Vad blir nästa steg och när kan ett nytt beslut vara på plats?

Det har knappast undgått någon (som arbetar med dataskyddsfrågor) att EU-domstolen sommaren 2020 ogiltigförklarade Privacy Shield i den så kallade Schrems II-domen.

I korthet kom EU-domstolen fram till att det amerikanska rättssystemet inte ger ett tillräckligt skydd för personuppgifter som överförs till USA, dels för att det saknas tillgång till effektiva rättsmedel, dels för att amerikanska myndigheter har alltför vidsträckta möjligheter att få tillgång till uppgifter som förs över dit. Domen innebar att Privacy Shield inte längre kunde användas som stöd för överföringar till USA. EU-domstolen bedömde dock att standardavtalsklausuler fortfarande kunde användas, men att de kunde behöva kompletteras med ”ytterligare skyddsåtgärder”.

Året därpå, sommaren 2021, antog Europeiska dataskyddsstyrelsen (EDPB) slutliga rekommendationer (01/2020) om hur man bedömer om och vilka ytterligare skyddsåtgärder som kan bli aktuella i fall där standardavtalsklausuler (och andra överföringsverktyg enligt artikel 46 GDPR) inte ger en tillräcklig skyddsnivå. Det var genom dessa rekommendationer vi blev varse att när det gäller till exempel amerikanska molntjänster, så krävs det som regel kryptering eller liknande tekniska åtgärder för att hindra myndigheters åtkomst – och därmed för att göra överföringen tillåten.

I mars i år, träffade EU-kommissionen och USA en principöverenskommelse om ett nytt transatlantiskt ramverk för skydd av personuppgifter: Trans-Atlantic Data Privacy Framework. Detta följdes av ett uttalande (01/2022) från EDPB i april, där principöverenskommelsen välkomnades men det samtidigt betonades att det nya ramverket måste ta hand om de brister som EU-domstolen pekade på i Schrems II-domen.

I oktober undertecknade USA:s president Biden en så kallad ”Executive Order” som en del av implementeringen av överenskommelsen. Presidentordern introducerar åtgärder som syftar till att möta de krav som EU-domstolen ställer i Schrems II-domen. Detta innebär att man inför vissa begränsningar av amerikansk underrättelsetjänsts insamling av personuppgifter för ändamål som rör nationell säkerhet samt uppdaterar mekanismen för att söka upprättelse/prövning, bland annat genom att introducera en ny så kallad ”Data Protection Review Court”.

Förra veckan (13 december 2022) publicerade Kommissionen ett utkast till nytt beslut om adekvat skyddsnivå för USA. I samband med detta begärdes också ett yttrande från EDPB, där dataskyddsmyndigheterna inom EES, inklusive IMY, nu kommer få möjlighet att analysera och yttra sig över beslutet och de åtgärder som vidtagits. Sedan ska frågan behandlas i den så kallade Artikel 93-kommittén som består av företrädare för medlemsstaternas regeringar. Därefter kan Kommissionen fatta beslut om adekvat skyddsnivå för USA.

Ett adekvansbeslut för USA kommer sannolikt att fattas till sommaren. Det återstår dock att se om adekvansbeslutet och överenskommelsen står sig vid en eventuell ny prövning i EU-domstolen. Organisationen NOYB med Max Schrems i spetsen har nämligen redan annonserat att man sannolikt kommer att utmana även detta beslut som, enligt organisationen, preliminärt inte bedöms uppfylla kraven. Ett adekvansbeslut för USA är därmed inom räckhåll, men det återstår att se om det blir ett tillfälligt eller mer bestående sådant.

Petra Lennhede, senior jurist på IMY:s EU-sekretariat

Tidslinje

Här är stegen fram till ett nytt beslut om adekvat skyddsnivå för USA. Kanske är ett sådant redan på plats före sommaren 2023, men kommer det återigen att utmanas av Max Schrems och underkännas av EU-domstolen? Det vet vi inte ännu.

Öppna bilden "Tidslinje – transatlantiska överföringar" större (JPG, 164 kB)

Senast uppdaterad: 20 december 2022
Senast uppdaterad: 20 december 2022
Sidans etiketter Dataskydd , Tredjelandsöverföring