Ny överenskommelse för dataöverföring mellan EU och USA

Den 10e juli 2023 antogs en ny överenskommelse mellan EU och USA gällande överföring av data/personuppgifter, EU-U.S. Data Privacy Framework (DPF). Denna överenskommelse innebär att det ska gå att dela persondata från länder inom EU till USA, trots den övervakning som amerikanska myndigheter bedriver mot europeiska invånare.

Överenskommelsen börjar gälla från och med den 10e juli och beslutet har tagits av EU-kommissionen. För att ett amerikanskt företag ska kunna hänvisa till DPF krävs att de också anammar det ramverk som DPF kräver för att hantera persondata. Det innefattar bland annat:

• Att företaget raderar persondata när det inte längre är nödvändigt att behålla sett till syftet med insamlingen.
• Att skydd av personuppgifter sker när det delas med tredjepart.
• Att EU-invånare har rätt att kräva tillgång till sin egen data.
• Att EU-invånare har rätt att kräva att deras data raderas om den är felaktig eller olagligt insamlad.

Utöver detta har man även, enligt kommissionen, gjort det svårare för myndigheter att begära ut persondata från företag. I överenskommelsen har man skrivit in att tillgången till uppgifter ska vara begränsad till vad som är nödvändigt och proportionerligt för att skydda den nationella säkerheten.

Företag i USA som vill ansluta sig till DPF måste skicka in en ansökan om att erhålla ett certifikat. Detta är en form av självcertifiering som sedan hanteras av amerikanska handelsdepartementet. Innan de registrerats i deras lista gäller inte överenskommelsen som ett skäl för att få dela persondata med företaget.

Fritt fram att använda amerikanska molntjänster igen?

Det är nog många som tänker att man nu kan sitta lugnt i båten igen gällande tjänster som Google Analytics. Personligen delar jag inte den uppfattningen. Själva överenskommelsen gäller de bolag som själva kan certifiera sig och följa de riktlinjer som ramverket kräver. GDPR gäller fortfarande inom EU och denna certifiering innebär att företagen ska kunna påvisa att den förordningen efterföljs om man ska undvika överträdelser inom EU. Det ska bli spännande att se vilka företag i USA som självcertifierar sig och hur denna anpassning kommer att se ut i realitet.

NOYB, som kontinuerligt ifrågasatt dataöverföring mellan EU och USA, har tydligt markerat att de inte anser att denna överenskommelse är tillräcklig för att skydda europeiska invånares persondata. Nedan följer några av de argument NOYB presenterat som talar emot DPF:

• FISA 702 har inte förändrats sedan föregående avtal mellan EU och USA förklarades ogiltigt. I DPF har man använt termen "proportionerligt" i avseende kring vilka uppgifter myndigheter har rätt att kräva ut, vilket kan anses tolkas enormt olika av EU och USA.
• De ändringar man gjort kring "Ombudsman" jämfört med Privacy Shield anses ha liten påverkan och kommer ändå resultera i att en europeisk invånare inte kan få möjligheten att bli hörd i USA och att domstolen i USA alltid kommer att svara på ärenden på samma sätt: "Without confirming or denying that the complainant was subject to United States signals intelligence activities, the review either did not identify any covered violations or the Data Protection Review Court issued a determination requiring appropriate remediation".
• Inga ändringar har gjorts i övriga verkställande direktiv, exekutiva order eller lagstiftningar som avser underrättelseinhämtning, datainsamling och övervakning.

NOYB har för avsikt att driva en process för att få DPF ogiltigförklarat på samma, eller åtminstone likvärdiga, grunder som både Safe Harbor och Privacy Shield. Max Schrems kommenterade DPF såhär:

"They say the definition of insanity is doing the same thing over and over again and expecting a different result. Just like 'Privacy Shield' the latest deal is not based on material changes, but by political interests. Once again the current Commission seems to think that the mess will be the next Commission's problem. FISA 702 needs to be prolonged by the US this year, but with the announcement of the new deal the EU has lost any power to get a reform of FISA 702."

Max Schrems, chair of NOYB

Qvalentos rekommendation

Jag tror jag nämnt frasen "jag är ingen jurist" minst 100 gånger den senaste veckan och jag vill poängtera det även här. De rekommendationer som ges ska ses som stöd och underlag för diskussion. Precis som med allting annat som har med lagstiftning att göra bör detta övervägas tillsammans med juridiskt kunniga personer. Sen kanske det slutar i en vägning mellan affärsnytta och risk, men det är inte en bedömning som ska göras utan att blanda in en juridiskt kunnig person.

Däremot vill jag ändå förmedla vår egen åsikt i detta. Att förlita sig på denna nya överenskommelse kommer med risker, då inga ändringar gjorts kring USAs "övervakningsprogram", i brist på ett bättre ord.

Dessutom, om vi vet med oss att uppgifter vi delar till USA kan komma att lämnas ut till myndigheter som inte bör ha tillgång till dessa; varför ska vi då utsätta våra kunder/besökare för den risken om det finns andra alternativ?