- Nya överenskommelsen för överföring av personuppgifter otillräcklig enligt Artikel 29-gruppen
- Osannolikt att överenskommelsen uppfyller EU-domstolens krav enligt tyska dataskyddsmyndigheten
- Intresseorganisationer uppmanar EU att återuppta förhandlingarna
Privacy Shield är bättre än Safe Harbor, men överenskommelsen behöver finslipas. Det anser den så kallade artikel 29-gruppen, som består av företrädare för EU:s medlemsstaters dataskyddsmyndigheter. Gruppen, som nu är klar med sin utvärdering och som nyligen publicerat ett dokument med nödvändiga garantier.
Gruppen bedömer att Privacy Shield öppnar för omfattande återanvändning av data, att det är svårt för enskilda att förstå vart de ska vända sig med klagomål och att överenskommelsen bör anpassas till den kommande dataskyddsförordningen som nyligen röstats igenom av Europaparlamentet. Gruppen bedömer också att de många undantagen öppnar för godtycklig massövervakning.
- We urge the European Commission to resolve these concerns, sade gruppens ordförande Isabelle Falque-Pierrotin vid en presskonferens i förra veckan.
Falque-Pierrotin bekräftade tidigare i år att företag tillsvidare kan överföra data med binding corporate rules och standard contract clauses som grund. Överföring med Safe Harbor som grund är däremot otillåten. Huruvida dataskyddsmyndigheterna vidtar åtgärder är en annan fråga. I Sverige har företrädare för Datainspektionen uttalat att myndigheten kommer avvakta med tillsynsåtgärder. Tysklands tillsynsmyndighet har däremot börjat vidta åtgärder. Myndigheten har också uttalat sig skeptiskt om Privacy Shield:
- If the agreement will meet the high level of the requirements the ECJ postulated in the Schrems ruling is rather doubtful, sade en företrädare nyligen.
Flera intresseorganisationer, däribland ACLU, delar uppfattningen att Privacy Shield sannolikt kommer ogiltigförklaras.
- Without more substantial reforms to ensure protection for fundamental rights of individuals on both sides of the Atlantic, the Privacy Shield will put users at risk, undermine trust in the digital economy, and perpetuate the human rights violations that are already occurring as a result of surveillance programs and other activities.
- In order for the Privacy Shield to survive, the U.S. must formally commit to substantial reforms to respect human rights and international law in order to meet the standards set forth by the [high court], skriver 27 organisationer i ett gemensamt uttalande.
Huruvida överenskommelsen håller beror dock inte bara på innehållet. Sedan Snowdenavslöjandena har USA infört lagstiftning för att stärka rättssäkerheten, däribland Presidential Policy Directive 28, Freedom Act och Judicial Redress Act. EU-domstolen kunde inte väga in lagändringarna i Schremsavgörandet.
Medlemsstaterna ska nu rösta om Privacy Shield. Därefter ska kommissionen färdigställa överenskommelsen.
Bakgrund – Safe Harbor, Schremsavgörandet och Privacy Shield
I oktober ogiltigförklarade EU-domstolen det beslut som i 15 år gjort det möjligt för företag som förbundit sig att följa de så kallade Safe Harbor-principerna att överföra data till USA trots att USA inte uppfyller dataskyddsdirektivets krav på adekvat skyddsnivå. Domen i det så kallade Schremsmålet kom efter avslöjandena om amerikanska myndigheters massövervakning, men bristerna i överenskommelsen har varit föremål för diskussion under flera år.
EU och USA har nu nått en ny överenskommelse, ”EU-US Privacy Shield”, som enligt kommissionen ska ge amerikanska företag starkare incitament att skydda data som rör EU-medborgare samt ge USA:s Federal Trade Commission och Department of Commerce bättre möjligheter att tillse att principerna efterlevs.
Genom överenskommelsen åtar USA sig att bara behandla personuppgifter under särskilda, tydligt definierade omständigheter och att avstå från godtycklig massövervakning. Kommissionen och Department of Commerce ska årligen analysera hur överenskommelsen efterlevs. Utöver detta införs tidsfrister inom vilka företag ska hantera klagomål samt en möjlighet för europeiska dataskyddsmyndigheter att hänvisa klagomål till amerikanska myndigheter. En ombudsman ska hantera förfrågningar om amerikanska myndigheters övervakning. Ombudsmannen ska även garantera att klagomål utreds.
Företag kommer liksom tidigare kunna ansluta sig själva till överenskommelsen. Certifieringen ska förnyas årligen. Företag som återkommande behandlar data i strid med principerna kan komma att uteslutas, och ska då radera samtliga personuppgifter som inhämtats med stöd av Privacy Shield.
Företag som förbinder sig att följa ramverket förbinder sig också att ansluta sig till ett nytt tvistlösningssystem och därmed bland annat att besvara klagomål inom 45 dagar. De ska också anvisa en oberoende tvistlösningsorganisation i USA eller Europa som kan utreda ärenden utan kostnad för den informationen rör. Tvister kan också hänvisas till medlemsstaternas dataskyddsmyndigheter, som kan besluta om ersättning, publicering av information om otillåten behandling samt om uteslutning ur Privacy Shield-systemet.
Följs inte dataskyddsmyndigheternas beslut kan ärenden hänvisas vidare till Federal Trade Commission eller andra federala myndigheter. Som en sista utväg kan enskilda vända sig till en panel utsedd av Department of Commerce. Panelen kan fatta bindande beslut om exempelvis gallring av data, men inte om ersättning. Besluten kan under vissa omständigheter överklagas till federal domstol.
Företag kan hållas ansvariga för tredje parts personuppgiftsbehandling som inte uppfyller kraven i principerna. För att överföring till tredje part ska vara tillåten krävs att hanteringen begränsas genom avtal så att behandlingen inte sker i strid med Privacy Shield-principerna eller går utöver det ursprungligen lämnade samtycket.
Företag som ansluter sig till systemet åtar sig också att informera enskilda bl a om syftena med vidareförmedling av uppgifter, enskildas rätt till åtkomst till personuppgifter som rör dem, möjligheten att inleda tvistlösningsförfaranden.
Läs Privacy Shield-överenskommelsen i dess helhet här.
Fredrik Svärd
[email protected]