”Privacy Shield-rapporten är här – var fortsatt försiktig med överföring av personuppgifter till USA”
ANALYS/DEBATT – av advokat Johan Engdahl, expert inom dataskyddslagstiftning på MAQS Advokatbyrå
Artikel 29-gruppen – som består av experter från medlemsstaternas dataskyddsmyndigheter i EU – har nu analyserat EU-kommissionens förslag till nytt ramverk för överföring av personuppgifter från EU till USA, det som kallas EU-US Privacy Shield. Deras slutsats är att det är en förbättring men inte tillräckligt för att ge medborgarna skydd vid behandling av personuppgifter.
Bakgrunden är att EU-domstolen i höstas ogiltigförklarade Safe Harbor-undantaget. Domen medförde att förhandlingarna mellan EU och Amerikanska myndigheter kring ökat skydd för EU-medborgares personuppgifter vid behandlig i USA intensiferades.
EU-kommissionen presenterade i februari sitt förslag för att ersätta Safe Harbor-undantaget. Detta förslag har nu granskats av Artikel 29-gruppen.
Artikel 29-gruppen välkomnar i sitt utlåtande de betydande förbättringar som Privacy Shield medför jämfört med det ogiltigförklarade Safe Harbor-undantaget. De menar ändå att det krävs mer arbete för att nå en likvärdig skyddsnivå som i EU när personuppgifter behandlas i enlighet med det föreslagna Privacy Shield.
Expertgruppen säger att det är positivt att mekanismer införs för att säkerställa tillsyn av Privacy Shield samt obligatoriska – både externa och interna – granskningar av att ramverket efterlevs.
Mindre bra i förslaget är den otydlighet som gruppen anser följer av att de principer och garantier som Privacy Shield ger är svårtillgängliga och ibland även inkonsekventa.
De anser även att vissa grundläggande principer inom den europeiska dataskyddslagstiftningen saknas, såsom ändamålsbegränsning för personuppgiftsbehandling och principer kring lagring av personuppgifter.
Sammanfattningsvis säger Artikel 29-gruppen bra – men inte tillräckligt bra.
EU-kommissionen uppmanas nu av artikel 29-gruppen att lösa de brister som de belyser för att säkerställa att det skydd som följer av Privacy Shield är likvärdigt med det skydd som ges inom EU. Vad betyder då artikel 29-gruppens svala mottagande?
EU-kommissionen är inte bunden av artikel 29-gruppens synpunkter och skulle kunna gå vidare med Privacy Shield i dess nuvarande utformning. Men för att Privacy Shield ska kunna bli en verklig ersättare till det ogiltigförklarade Safe Harbor-undantaget krävs uppbackning från tillsynsmyndigheterna.
Mot bakgrund av detta kommer vi förmodligen att få se justeringar på i vart fall några delar innan Privacy Shield slutligen klubbas igenom.
Så vad händer nu för svenska företag? Den rekommendation vi gav i höstas står sig. Företagen bör vara försiktiga med överföringar av personuppgifter och i möjligaste mån hitta lösningar inom EU.
