Amerikanska molntjänster och personuppgifter – EU-kommissionen släpper utkast om godkännande

På lucia kom då EU-kommissionens första utkast på ett adekvansbeslut i relation till USA. Det vill säga uppföljaren till Privacy Shield som skrotades för två år sedan. Sakfrågan är om de tycker att Bidens presidentorder räcker som lösning på Schrems 2-domen.

I juli 2020 upphävde EU-domstolen för andra gången EU-kommissionens adequacy decision om att invånarnas personuppgifter har ett adekvat skydd inom USA:s jurisdiktion. Denna dom har populärt kallats för Schrems 2 efter Max Schrems som är en framstående person inom integritetsområdet och aktiv i organisationen NOYB (None of Your Business).

EU-domstolen (CJEU) är de som i slutänden uttolkar ifall våra regleringar efterlevs på rätt sätt. De fundamentala invändningar de hade mot EU-kommissionens senaste adekvansbeslut var följande:

Är övervakningen ”proportionerlig” i USA, vilket inbegriper hur EU-invånares personuppgifter kan signalspanas på av amerikanska övervakningsmyndigheter.
Finns det en möjlighet att i USA bevaka sina rättigheter juridisk, som i att inleda en prövning om ens personuppgifter hanterats korrekt.

EU-US Data Privacy Framework

Under våren 2022 lanserades det att EU och USA hade avsikten att ta fram ett nytt avtal. En farhåga bedömare hade var om EU-kommissionen lärt sig av motgångarna och att den nya konstruktionen att dela personuppgifter över Atlanten skulle ha en chans att tåla en ny juridisk prövning i EU-domstolen.

USA:s president Biden har genom en presidentorder instruerat om ett antal förändringar som är inom hans mandat. Nu i december följer EU-kommissionens del i hur det skulle bli lagligt att dela personuppgifter med USA baserat på detta. Ett så kallat adequacy decision, vilket USA hade tidigare och som ett flertal länder har. Bland annat Sydkorea, Japan, Kanada och Israel.

Vill du läsa utkastet finns det öppet publicerat och nedan är några utdrag av de mer intressanta avsnitten.

”The Commission considers that the United States – through the Principles issued by the U.S. DoC – ensures a level of protection for personal data transferred from the Union to certified organisations in the United States under the EU-U.S. Data Privacy Framework that is essentially equivalent to the one guaranteed by Regulation (EU) 2016/679"

"Taken as a whole, the oversight mechanisms and redress avenues in U.S. law enable infringements of the data protection rules to be identified and punished in practice and offer legal remedies to the data subject to obtain access to personal data relating to him/her and, eventually, the rectification or erasure of such data"

"Finally, on the basis of the available information about the U.S. legal order, ....the Commission considers that any interference in the public interest, in particular for criminal law enforcement and national security purposes, by U.S. public authorities with the fundamental rights of the individuals whose personal data are transferred from the Union to the United States under the EU-U.S. Data Privacy Framework, will be limited to what is strictly necessary to achieve the legitimate objective in question, and that effective legal protection against such interference exist."

– Kommissionens utkast angående EU-US Data Privacy Framework (EU-kommissionen, december 2022)

NOYB:s initiala svar på detta utkast är att:

”The CJEU required (1) that US surveillance is proportionate within the meaning of Article 52 of the Charter of Fundamental Rights (CFR) and (2) that there is access to judicial redress, as required under Article 47 CFR. Updated US law (Executive Order 14086) seems to fail on both requirements, as it does not change the situation from the previously applicable PPD-28. There is continuous ”bulk surveillance” and a ”court” that is not an actual court.

Therefore, any EU ”adequacy decision” that is based on Executive Order 14086 will likely not satisfy the CJEU.”

– Statement on EU Commission adequacy decision on US (NOYB på Linkedin, 13 December 2022)

Max Schrems hälsar att han och NOYB kommer att detaljgranska detta utkast de kommande dagarna. Men de tycks inte vara särskilt imponerade.

Så frågan väl om EU-kommissionen går vinnande ur en tänkbar Schrems 3-dom. Från den dag det här utkastet tar sig till ett riktigt beslut blir det återigen mer görbart att ha personuppgifter i molntjänster från de amerikanska IT-jättarna. Men man bör vara medveten om att det inte ännu är lagligt och att det precis som tidigare kan bli olagligt på nytt.

Mer om EU-US Data Privacy Framework

EU Comission adequacy decision on US (EU-kommissionen)
Statement on EU Commission adequacy decision on US (NOYB)
Bidens presidentorder 14086
New US Executive Order unlikely to satisfy EU law (NOYB) – angående Bidens presidentorder
Slutspanat på EU-invånare när Biden har signerat order om Trans-Atlantic Data Privacy Framework? (Webperf, oktober)

Amerikanska molntjänster och personuppgifter – EU-kommissionen släpper utkast om godkännande

EU-US Data Privacy Framework

Mer om EU-US Data Privacy Framework

Relaterat innehåll

Sitevision gick back ekonomiskt men ökar omsättningen

DPF: eSam ger inte grönt ljus för amerikanska molntjänster (nu heller)

ePrivacy: PTS beslutar att Matomo-kakor inte klassas som nödvändiga

Webperfs nyhetsbrev

Webbanalys – förstå och förbättra användarnas upplevelse