Den 12 juli 2016 godkändes Privacy Shield slutligen av EU-Kommissionen. Osäkerheten kring hur överföring av personuppgifter till USA enkelt ska kunna göras sedan Safe Harbour-domen i oktober 2016 kan nu stillas något, men det kvarstår fortfarande frågor om hur regelverket kommer att tillämpas i praktiken och om det överhuvudtaget kommer stå sig vid en prövning av EU-domstolen.
EU-domstolen konstaterade i Safe Harbour-domen att USA:s lagstiftning och förfaranden inte uppfyllde EU:s krav på en tillräcklig skyddsnivå för hantering av EU-medborgares personuppgifter varför Safe Harbour-undantaget inte längre kunde tillämpas vid överföring av personuppgifter till USA.
Genom Privacy Shield-regelverket anser Kommissionen att USA nu kan möta de krav på säkerhet som krävs för att behandla EU-medborgares personuppgifter i enlighet med direktiv 95/46/EG samt det krav på skydd av mänskliga rättigheter som fastslås i EU:s rättighetsstadga artikel 8 om skydd av personuppgifter.
Från och med den 1 augusti 2016 kommer de företag som väljer att certifiera sig hos amerikanska handelsdepartementet att bli publicerade i en officiell lista på departementets hemsida. De certifierade företagen ikläder sig då även ansvaret att följa Privacy Shield-reglerna under amerikansk lag och kan bli föremål för utredning och sanktioner av den amerikanska staten.
Privacy Shield-regelverket blev tillämpligt i EU redan den 12 juli 2016 då det notifierades till samtliga medlemsstater.
Regelverket fastslår sju principer samt sexton tilläggsprinciper. Huvuddragen av regelverket och principerna har tidigare kommenterats av Viktoria Wastensson i Dagens Juridik (2016-02-04).
De certifierade företagen åtar sig enligt principerna bland annat att informera de registrerade om sin certifiering, om hur de registrerade kan framföra klagomål gällande behandlingen av personuppgifter samt de möjligheter till begränsningar för behandlingen av personuppgifter som företaget erbjuder. Företagen har även ansvar för vidareöverföring av personuppgifter till tredje parter, det ställs således även krav på regelefterlevnad av exempelvis amerikanska personuppgiftesbiträdens underbiträden.
Genom Privacy Shield-regelverket åtar sig amerikanska myndigheter bland annat att genomdriva regelverket och därigenom begränsa amerikanska statens åtkomst av EU-medborgares personuppgifter.
För svenska företag innebär Privacy Shield praktiskt att det vid ingående av personuppgiftsbiträdesavtal med amerikanska företag exempelvis behöver finnas krav på självcertifiering samt bestämmelser om vilka följderna blir för det fall ett biträde skulle förlora certifieringen.
De krav som amerikanska biträden nu behöver uppfylla är bland annat att upprätta ett förfarande för hur direkta klagomål från EU-medborgare gällande bristande efterlevnad av regelverket ska hanteras. Det amerikanska företaget har vid klagomål 45 dagar på sig att återkomma med svar till individen.
När personuppgiftsansvariga i EU använder personuppgiftsbiträden i USA, exempelvis vid användningen av molntjänster, bör även den personuppgiftsansvarige därför tillhandahålla EU-medborgarna ett enkelt sätt att ta kontakt med det certifierade företaget för att framföra klagomål.
Kommer Privacy Shield att stå sig vid en eventuell prövning av EU-domstolen? Maximilian Schrems, den österrikiske student som låg bakom prövningen av Safe Harbor-undantaget, har redan på förhand meddelat att han avser att få även Privacy Shield prövat av EU-domstolen. Det finns även andra röster som har ställt sig tveksamma till att USA faktiskt kommer följa de krav de åtagit sig och som ifrågasätter om kraven som ställts på USA är tillräckliga.
Framförallt rör detta de amerikanska underrättelsetjänsternas insamling av personuppgifter. I Safe Harbor-domen konstaterades att ett åtagande att följa Safe Harbor-principerna stod sig slätt mot den amerikanska statens rätt att samla in personuppgifter av exempelvis nationella säkerhetsskäl. Samma invändning kan förstås göras mot Privacy Shield.
Ny lagstiftning har förvisso antagits i USA för att förbättra skyddet mot massövervakning men det återstår att se om EU-domstolen anser att dessa åtgärder är tillräckliga för att tillgodose EU-medborgarnas rättigheter.
Självklart har EU inte kunnat diktera kraven för USA i förhandlingarna om Privacy Shield utan överenskommelsen utgör resultatet av en kompromiss; en kompromiss där många andra intressen än endast EU-medborgarnas skydd för sina privatliv har vägts in.
Det återstår därför att se om Privacy Shield utgör den långsiktiga lösning på överföring av personuppgifter till USA som många har väntat på. Tills EU-domstolen säger någonting annat så gäller dock EU-kommissionens nya beslut och överföring av personuppgifter till självcertifierade amerikanska företag är därmed lagliga.
