Då har den äntligen kommit, EU-U.S Data Privacy Framework (DPF), som innebär att USA säkerställer en adekvat säkerhetsnivå för personuppgifter som överförs från EU till USA. Företag kan ansluta sig till DPF och anses därmed ha adekvat skydd för överföring och behandling av personuppgifter från organisationer inom EU/EES. EU-kommissionen publicerade sitt beslut om att starta certifieringen den 10 juli 2023.
Varför är detta betydelsefullt för Giva Sveriges medlemmar? Jo, det innebär att vi inom en snar framtid kan använda oss av tjänster som baseras i USA som exempelvis MailChimp, Facebook eller Google Analytics.
Vad är då DPF och vad skiljer den från sina föregångare?
DPF kan sägas vara en uppförandekod som företag och organisationer i USA kan ansluta sig till. Det som krävs för de som vill ansluta sig är att de:
- Är anslutna till Privacy Shield i USA.
- Accepterar principerna som läggs fram i EDF och anger detta på sin webbplats.
- Anger till vilken modell av alternativ tvistelösning de väljer att följa.
Nu kanske du studsar till och tänker att Privacy Shield inte är acceptabel sedan Schreems II domen från EU-domstolen. Slutsatsen i domen var att man inte längre kunde använda sig av Privacy Shield som överföringsmekanism mellan EU/EES och USA. Själva regleringsmekanismen där företag i USA underkastar sig kontroll av Federal Trade Commission (FTC) för att säkerställa att de följer regelverket för en säker behandling av personuppgifter har levt kvar i USA. Detta gör att det finns en bra modell för att säkerställa att grunderna för att behandlingen sker korrekt i USA. Då FTC är en blandning av Konsumentverket, Konkurrensverket och IMY kan den agera som garant för att detta sker.
Samtidigt kan det vara så att du reagerar på att Schreems II domen fastslog att organisationer inom EU/EES inte kunde föra över personuppgifter till USA för att man där inte kunde garantera att de registrerade individernas rättigheter enligt GDPR kunde upprätthållas gentemot säkerhetstjänsterna i USA, och det har du helt rätt i. Det Kommissionen har gjort i DPF är att kräva att det ska finnas en möjlighet för européer att kunna hävda sina rättigheter gentemot säkerhetstjänsterna i USA. Från USA:s sida har detta lösts genom att inrätta ett nytt domstolsliknande förfarande i två instanser dit den enskilde kan vända sig genom en så kallad executive order från den amerikanske presidenten. Den enskilde behöver dock inte själv driva sin talan i USA utan förfarandet går igenom, i vårt fall, IMY. IMY ser till att klagomålet överförs korrekt till USA och att all ytterligare information om förfarandet (inklusive om resultatet när det väl kommer) lämnas till den enskilde.
Det intressanta här är att den registrerade inte behöver visa att deras uppgifter faktiskt samlades in av säkerhetstjänsterna i USA för att kunna lämna in ett klagomål, utan det räcker med att man tror att så är fallet. Just denna möjlighet kan komma att överutnyttjas, men det lär väl framtiden visa om så blir fallet.
Den första instansen som tar upp klagomålet i USA är en person som kallas för ”Civil Liberties Protection Officer”. Denne person är en del av säkerhetstjänsten i USA och har till uppgift att se till att underrättelseorganen i USA respekterar de grundläggande rättigheterna kring en persons privatliv.
Skulle man inte vara nöjd med beslutet från Civil Liberties Protection Officer kan den enskilde, med hjälp av IMY, överklaga beslutet till Data Protection Review Court (DPRC). DPRC är en domstol som består av personer som har tillsats av USA:s regering, men väl på plats kan dessa inte avskedas så vida de inte döms för brott eller anses vara mentalt eller fysisk förhindrade att utföra sitt jobb. DPRC kommer att agera oberoende från USA:s regering och säkerhetstjänsterna. Den har befogenhet att utreda klagomål från EU-medborgare, inklusive att inhämta relevant information från underrättelsetjänster, och kan fatta bindande beslut om korrigerande åtgärder. Om DPRC till exempel skulle finna att uppgifter samlats in i strid med EDF, kan den beordra att uppgifterna raderas. När DPRC utreder ett klagomål kommer den enskildes rättigheter att företrädas av en ”special advocate” som säkerställer att den klagandes intressen företräds och att DPRC är väl informerad om de faktiska och rättsliga aspekterna av målet.
När Civil Liberties Protection Officer eller DPRC har avslutat utredningen får den klagande antingen information om att ingen överträdelse av en lag i USA har identifierats, eller att en överträdelse har konstaterats och åtgärdats. Vi kommer inte initialt kunna få ta del om hur endera beslutande part har resonerat, utan det sker först när underlaget och resonemanget inte längre anses omfattas av sekretess. Något som kan kännas lite konstigt, men är förståeligt och liknade regler finns även i Sverige när det kommer till avgöranden som omfattar säkerhetstjänstens verksamhet.
Axel Tandberg
Jurist
Vill du läsa mer om EU-U.S Data Privacy Framework: https://ec.europa.eu/commission/presscorner/detail/en/ip_23_3721