EU-kommisjonens utkast til ny adekvansbeslutning for overføringer av personopplysninger til USA
EU-kommisjonens utkast er ment å danne et nytt rettslig grunnlag for overføringer av personopplysninger til USA. Om utkastet får gjennomslag blir det enklere for virksomheter å overføre personopplysninger til blant annet amerikanske databehandlere. Men allerede nå har det kommet kritikk mot utkastet. Kan vi takke farvel til konsekvensutredninger for overføringer til USA, eller er vi på vei mot Schrems III?
Den 13. desember 2022 publiserte EU-kommisjonen utkast til adekvansbeslutningen «EU-U.S. Data Privacy Framework» («Rammeverket»). Blir utkastet godkjent, innebærer dette at personopplysninger lovlig kan overføres fra EU til USA, så lenge mottaker er underlagt Rammeverket. Dette vil vesentlig forenkle overføringer av personopplysninger til amerikanske selskaper som deltar i ordningen. Det vil blant annet ikke lenger være nødvendig å foreta konsekvensutredninger («Transfer Impact Assessment») i forkant av en overføring til USA. Dette er i dag obligatorisk for overføringer som baseres seg på EU-kommisjonens standard personvernbestemmelser («Standard Contractual Clauses»).
EU-kommisjonens utkast til ny adekvansbeslutning er en forventet gjennomføring av EU-kommisjonens og amerikanske myndigheter felles erklæring fra tidligere i år, hvor det ble annonsert at partene var enige om å opprette et «Trans-Atlantic Data Privacy Framework».
Rammeverket kan implementeres av amerikanske selskaper ved å binde seg til å overholde en rekke personvernprinsipper. Eksempelvis nevner EU-kommisjonen krav om å slette personopplysninger når de ikke lenger er nødvendige for formålet de ble samlet inn for (prinsippet om formålsbegrensing) og et krav om at tredjeparter opprettholder samme nivå av personvernbeskyttelse som mottaker. Videre skal europeiske borgere gis kostnadsfri klageadgang dersom deres personopplysninger behandles i strid med Rammeverket.
I tillegg til Rammeverket, fremhever EU-kommisjonen ny lovgivning i USA, som til en viss grad bøter på personvernutfordringene adressert av EU-domstolen i Schrems II, som relevant for adekvansbeslutningen. I denne dommen førte en klage fra den østeriske advokaten og aktivisten Max Schrems og hans ideelle organisasjon «noyb» til at EU-kommisjonens tidligere overføringsmekanisme «Privacy Shield» ble erklært ugyldig.
Lovgivningen det refereres til er «US Executive Order 14086» av 7. oktober 2022, med tilhørende forskrifter utstedt av den amerikanske justisministeren Merrick Garland. I president Bidens kjennelse (Executive Order) slås det fast at “the United States recognizes that signals intelligence activities must take into account that all persons should be treated with dignity and respect, regardless of their nationality or wherever they might reside, and that all persons have legitimate privacy interests in the handling of their personal information. Therefore, this order establishes safeguards for such signals intelligence activities.”. Det er likevel usikkert om denne kjennelsen faktisk vil endre langvarig praksis innenfor amerikansk etterretning på en måte som tilfredsstiller kravene stilt av EU-domstolen.
Ifølge EU-kommisjonen, er amerikanske etterretningsmyndigheters tilgang til personopplysninger om europeiske borgere nå begrenset til det som er nødvendig og proporsjonalt for å ivareta USAs nasjonale sikkerhet. I tillegg er opprettelsen av en «US Data Protection Review Court» antatt å gi et viktig rettsmiddel til europeiske borgere for håndhevelse av egne personvernrettigheter. Domstolen skal være uavhengig og upartisk.
Hvorvidt EU-domstolen nå anser personvernutfordringene adressert i Schrems I og Schrems II som eliminert, vil tiden måtte vise. Noyb har allerede annonsert at det er lite sannsynlig at Executive Order 14086 vil tilfredsstille kravene fra EU-domstolen, og organisasjonen anklager EU-kommisjonen for å begå brudd på EUs grunnleggende rettigheter. Det er dermed grunn til å forvente at også Rammeverket vil utfordres, og at vi må forberede oss på Schrems III.
Om EU-kommisjonens utkast faktisk vil føre til forenklende overføringer av personopplysninger fra EU til USA, eller om også denne overføringsmekanismen vil gravlegges sammen med andre mislykkede overføringsgrunnlag, som Safe Harbour og Privacy Shield, er dermed uvisst.
Det må understrekes at EU-kommisjonens utkast på nåværende tidspunkt ikke kan benyttes som overføringsgrunnlag. Utkastet må først igjennom de ulike stegene i EU-kommisjonens prosedyre for vedtakelse. Først skal utkastet vurderes av Personvernrådet («EDPB»). Deretter kreves det godkjenning fra en komité sammensatt av representanter fra EUs medlemsland. Til slutt kreves godkjennelse fra EU-Parlamentet. Først etter at denne prosedyren er fulgt, kan EU-kommisjonen treffe en endelig beslutning.
Du kan lese EU-kommisjonens pressemelding og utkast til ny adekvansbeslutning på engelsk her.