Hoppa till innehåll på sidan
Blå EU-flagga med gula stjärnor mot en blå himmel.

EDPB yttrar sig om EU-US Data Privacy Framework 

Publicerad: 1 mars 2023
Den 28 februari 2023 antog EDPB ett yttrande över EU-kommissionens förslag till beslut om adekvat skyddsnivå för USA som baseras på EU-US Data Privacy Framework (DPF). DPF ska ersätta det tidigare Privacy Shield-avtalet som ogiltigförklarades av EU-domstolen i den så kallade Schrems II-domen år 2020. Enligt GDPR gör ett beslut om adekvat skyddsnivå det möjligt att föra över personuppgifter till det landet från EU/EES utan krav på ytterligare garantier genom avtalsklausuler eller liknande.

Det nya DPF bygger till stor del på att USA antagit en ny Executive Order, EO 14086, som innehåller bestämmelser som ska bemöta de brister som EU-domstolen ansåg fanns i Privacy Shield.

I sitt yttrande välkomnar EDPB de väsentliga förbättringar som nu gjorts, genom exempelvis införandet av principer om nödvändighet och proportionalitet för insamling av uppgifter i USA:s underrättelseverksamhet och inrättande av en mekanism som gör det möjligt för EU-invånare att söka rättelse, den så kallade Data Protection Review Court (DPRC). Samtidigt ser EDPB behov av förtydligande på flera punkter, framför allt kring vissa rättigheter för registrerade, vidareöverföring av personuppgifter till andra länder, räckvidden för de undantag som finns i regleringen, avsaknad av krav på förhandstillstånd för massinsamling av uppgifter (insamling i bulk), hur länge sådana massinsamlade uppgifter ska sparas och hur de kan spridas samt hur mekanismen för att söka rättelse kommer att fungera i praktiken. EDPB välkomnar EU-kommissionens förslag om att beslutet om adekvat skyddsnivå inte ska träda ikraft förrän de ytterligare policies och rutiner som ska genomföra EO 14086 i praktiken finns på plats, men skulle också gärna se att beslutet inte alls antas förrän detta har skett. EDPB rekommenderar att EU-kommissionen informerar EDPB om sin bedömning av dessa policies.

Utöver synpunkter på hur DPF adresserar möjligheterna för amerikansk underrättelseverksamhet att få tillgång till överförda uppgifter, har man också vissa synpunkter på ramverket ur andra, mer generella aspekter. DPF kommer, liksom tidigare ramverk som legat till grund för adekvansbeslut avseende USA, endast att gälla för de organisationer som själva förklarat att de vill efterleva principerna i ramverket. EDPB noterar att flera av principerna har uppdaterats men att många av dem är desamma som under Privacy Shield och att även dessa kräver förtydliganden. Det gäller till exempel undantag från registrerades rätt till tillgång, avsaknaden av definitioner av vissa nyckelbegrepp och avsaknaden av särskilda regler för automatiserat beslutsfattande och profilering.

Utöver de förtydliganden som EDPB anser behövs innan beslutet antas anser man också att det behöver följas noga framöver hur DPF kommer att fungera i praktiken och uppmanar därför EU-kommissionen att noga bevaka detta, till exempel genom regelbundna översyner vart tredje år.

EDPB:s ordförande Andrea Jelinek säger i ett pressmeddelande om yttrandet: “En hög dataskyddsnivå är oumbärlig för att garantera EU-invånares fri- och rättigheter. Vi ser att betydande förbättringar har gjorts i USA:s rättsliga ramverk men vi rekommenderar också att de frågetecken vi har lyft nu tas omhand så att ett nytt adekvansbeslut kan bli bestående.”

Nu ska EU-kommissionens utkast till adekvansbeslut också bedömas av en särskild kommitté, artikel 93-kommittén, och först därefter kan beslutet antas.

Senast uppdaterad: 2 mars 2023
Senast uppdaterad: 2 mars 2023
Sidans etiketter