EDPB uttalar sig om Trans-Atlantic Data Privacy Framework

Den 25 mars 2022 meddelades att EU-kommissionen och USA träffat en principöverenskommelse om ett nytt transatlantiskt ramverk för skydd för personuppgifter, Trans-Atlantic Data Privacy Framework.

Efter att EU-domstolen i den så kallade Schrems II-domen från 2020 upphävde det tidigare ramverket, Privacy Shield, har det från flera håll, inte minst från EU/EES-ländernas dataskyddsmyndigheter, framförts vikten av att ett nytt ramverk tas fram som uppfyller de krav som EU-domstolen pekat på. Europeiska dataskyddsstyrelsen (EDPB), som består av företrädare för dataskyddsmyndigheterna i EU och EES, har därför i ett pressmeddelande uttalat att man välkomnar principöverenskommelsen.

– Det är dock viktigt att känna till att principöverenskommelsen endast är ett första steg i processen att ta fram ett beslut om adekvat skyddsnivå som kan ligga till grund för överföring av personuppgifter till USA, säger IMY:s rättschef David Törngren.

Nu fortsätter förhandlingarna mellan EU-kommissionen och myndigheterna i USA för att ta fram närmare villkor och förutsättningar för att garantera en sådan nivå. När de förhandlingarna avslutats, ska kommissionen begära ett yttrande från EDPB och frågan sedan behandlas i den så kallade Artikel 93-kommittén som består av företrädare för medlemsstaternas regeringar. Först därefter kan EU-kommissionen fatta ett beslut om adekvat skyddsnivå.

– Det är också viktigt att understryka att principöverenskommelsen inte innebär någon förändring för den som nu vill överföra personuppgifter till USA. Fram till att det finns ett nytt adekvansbeslut på plats måste man alltså säkerställa att det finns ett annat verktyg för överföringen som uppfyller kraven i kapitel V i dataskyddsförordningen och att EU-domstolens praxis följs, särskilt Schrems II-domen. EDPB har gett vägledning kring hur domen ska tolkas, säger David Törngren.

Att ett nytt ramverk och adekvansbeslut kommer på plats är något som är starkt efterlängtat för att förenkla möjligheterna till överföring av personuppgifter från EU/EES till USA. Samtidigt är det viktigt att det nya ramverket innehåller tillräckliga garantier för att registrerade i EU/EES ska kunna utöva sina rättigheter ifråga om skydd för personuppgifter och att en väsentligen likvärdig nivå som den i EU kan upprätthållas.

Det nya ramverket måste ta hand om de brister som EU-domstolen pekade på i Schrems II-domen, framför allt ifråga om att begränsa insamling av personuppgifter för ändamål som har med nationell säkerhet att göra till vad som är strikt nödvändigt och proportionerligt och att skapa effektiva rättsmedel för de registrerade. EU-ländernas dataskyddsmyndigheter har genom EDPB förklarat sig beredda att stötta kommissionen i det fortsatta arbetet så att ett nytt ramverk som uppfyller kraven i EU:s dataskyddslagstiftning kan komma till stånd.