EU-kommissionen har inlett processen för att anta ett beslut om adekvat skyddsnivå för ramverket för dataskydd mellan EU och USA, vilket kommer att främja säkra transatlantiska dataflöden och ta itu med de problem som EU-domstolen tog upp i sitt Schrems II-beslut från juli 2020.
Utkastet till beslut följer president Bidens undertecknande av en amerikansk exekutivorder den 7 oktober 2022, tillsammans med de föreskrifter som utfärdats av USA:s justitieminister Merrick Garland.
Utkastet till beslut om adekvat skyddsnivå, som återspeglar EU-kommissionens bedömning av USA:s rättsliga ram och som drar slutsatsen att den ger jämförbara skyddsåtgärder som EU:s, har nu offentliggjorts och överlämnats till Europeiska dataskyddsstyrelsen (EDPB) för yttrande. I utkastet till beslut drogs slutsatsen att USA säkerställer en adekvat skyddsnivå för personuppgifter som överförs från EU till amerikanska företag.
Amerikanska företag kommer att kunna ansluta sig till EU:s och USA:s ramverk för dataskydd genom att åta sig att uppfylla en detaljerad uppsättning skyldigheter i fråga om skydd av privatlivet, till exempel kravet på att radera personuppgifter när de inte längre är nödvändiga för det ändamål för vilket de samlades in och att säkerställa kontinuitet i skyddet när personuppgifter delas med tredje part. EU-medborgarna kommer att ha tillgång till flera möjligheter att överklaga om deras personuppgifter hanteras i strid med ramverket, bland annat genom att kostnadsfritt vända sig till oberoende tvistlösningsmekanismer och en skiljenämnd.
Dessutom innehåller USA:s rättsliga ram ett antal begränsningar och skyddsåtgärder när det gäller amerikanska myndigheters tillgång till uppgifter, särskilt för brottsbekämpning och nationell säkerhet. Detta inkluderar de nya regler som infördes genom den amerikanska Executive Order, som tog upp de frågor som EU-domstolen tog upp i Schrems II-domen:
- De amerikanska underrättelsetjänsternas tillgång till europeiska uppgifter kommer att begränsas till vad som är nödvändigt och proportionerligt för att skydda den nationella säkerheten;
- EU:s medborgare kommer att ha möjlighet att få upprättelse om de amerikanska underrättelsetjänsternas insamling och användning av deras uppgifter inför en oberoende och opartisk mekanism för prövning, som omfattar en nyinrättad domstol för prövning av dataskydd. Domstolen kommer att oberoende utreda och lösa klagomål från européer, bland annat genom att anta bindande korrigerande åtgärder.
Europeiska företag kommer att kunna förlita sig på dessa skyddsåtgärder vid transatlantiska dataöverföringar, även när de använder andra överföringsmekanismer, till exempel standardavtalsklausuler och bindande företagsregler.
Utkastet till beslut om adekvat skyddsnivå kommer nu att genomgå sitt antagandeförfarande. Som ett första steg har kommissionen överlämnat sitt utkast till beslut till Europeiska dataskyddsstyrelsen (EDPB). Därefter kommer kommissionen att begära godkännande från en kommitté bestående av företrädare för EU:s medlemsstater. Dessutom har Europaparlamentet rätt att granska beslut om adekvat skyddsnivå. När detta förfarande är slutfört kan kommissionen gå vidare med att anta det slutliga beslutet om adekvat skyddsnivå.
Hur ramverket för dataskydd mellan EU och USA fungerar kommer att bli föremål för regelbundna översyner som kommer att utföras av EU-kommissionen, tillsammans med europeiska dataskyddsmyndigheter och de behöriga amerikanska myndigheterna. Den första översynen kommer att äga rum inom ett år efter det att beslutet om adekvat skyddsnivå har trätt i kraft, för att kontrollera om alla relevanta delar av den amerikanska rättsliga ramen har genomförts fullt ut och fungerar effektivt i praktiken.