Det europeiske datatilsynet (EDPB) har, den 28. februar, publisert sin uttalelse vedrørende EU-kommisjonens utkast til adekvansbeslutning for USA, i lys av det foreslåtte Trans-Atlantic Data Privacy Framework. EU-parlamentets Committee on Civil Liberties, Justice and Home Affairs har allerede publisert et utkast til uttalelse til EU-kommisjonen om å ikke vedta adekvansbeslutningen.
Siden EU-kommisjonen og USA kom til enighet om den nye overføringsordningen Trans-Atlantic Data Privacy Framework i mars 2022 har det vært knyttet usikkerhet til når ordningen skal komme på plass. Vi har tidligere skrevet om utfordringene den manglende avklaringen innebærer for virksomheter som skal overføre personopplysninger til et tredjeland og som inntil videre må basere seg på EUs oppdaterte standardklausuler (SCC) eller et annet overføringsgrunnlag i GDPR kapittel V for overføring til tredjeland. For de av oss som venter spent på den endelige avklaringen, kan det se ut til at implementeringen av rammeverket ikke blir uten utfordringer. Uttalelsen fra EDPB kommer som ledd i vedtakelsesprosessen for adekvansbeslutningen.
Den 14. februar 2023 kom Committee on Civil Liberties, Justice and Home Affairs («Komiteen») med et utkast til en uttalelse til EU-kommisjonen om å ikke vedta en adekvansbeslutning for USA etter personvernforordningen (GDPR) artikkel 45 som ledd i å gjennomføre det nye overføringsrammeverket mellom USA og EU. En adekvansbeslutning innebærer at en overføring av personopplysninger fra et EU/EØS-land til et tredjeland kan foretas uten at bedriften trenger å iverksette ytterligere tiltak eller vurdering av beskyttelsesnivået i det aktuelle landet/området før overføringen finner sted. Komiteen skriver imidlertid i sitt Draft Motion for a Resolution at «the EU-US Data Privacy Framework fails to create actual equivalence in the level of protection”. Komiteen anbefaler derfor at EU-kommisjonen fortsetter forhandlingene med USA for å oppnå en overføringsordning som ivaretar personvernet ved dataoverføringer til USA på en tilsvarende måte som ved overføringer innad i EU.
Som begrunnelse for sin beslutning har Komitéen fremhevet at USA fremdeles ikke har en personvernlovgivning som gjelder som føderal lov og at prinsippene om proporsjonalitet og nødvendighet etter amerikansk personvernrett ikke er i samsvar med hvordan disse prinsippene forstås i EU-retten. I tillegg peker Komiteen på at president Bidens «Executive Order», som gjennomfører overføringsordningen i USA, ikke er «clear, precise or foreseeable in its application» fordi den kan på ethvert tidspunkt endres av USAs president. Videre hindrer ikke denne «Executive Order» amerikansk signaletterretnings masseinnhenting av data. Komiteen mener også at den uavhengige domstolen opprettet av rammeverket, Data Protection Review Court, ikke oppfyller de krav til en uavhengig og upartisk domstol som følger av EUs Charter om grunnleggende rettigheter artikkel 47. Komitéens anbefaling reflekterer derfor mye av den kritikken som har vært rettet mot Trans-Atlantic Data Privacy Framework siden EU-kommisjonen og USA kom til enighet om den nye ordningen i mars i fjor.
Den 28. februar 2023 publiserte EDPB sin uttalelse vedrørende den foreslåtte adekvansbeslutningen for USA. EDPB uttaler at de ser forbedringer rundt det nye overføringsrammeverket til USA, men de har, i likhet med Komitéen, bekymringer rundt en del punkter. Av positive sider trekker EDPB frem at det har skjedd store forbedringer relatert til hva som er “nødvendig” og “proporsjonalt” ved inngrep i personvernet. Videre trekker de også frem den nye domstolsordningen, men stiller seg litt tvilende til hvordan denne vil fungere i praksis. Til sist legger de vekt på at det har skjedd forbedringer som følge av President Bidens “Excecutive Order”, som du kan lese mer om her.
Bekymringene til EDPB går blant annet ut på manglende definisjoner av sentrale begrep, klarhet rundt retten til innsyn, og hvorvidt det nye rammeverkets prinsipper vil få virkning for alle databehandlere, all den tid de bare vil gjelde for de virksomhetene som selv sertifiserer seg under det nye rammeverket. Utover dette påpekes det at et unntak fra retten til innsyn i offentlig tilgjengelig informasjon og mangel på konkrete regler om automatisert beslutningstaking og profilering er problematisk. Til sist påpeker EDPB at det mangler en forhåndsgodkjenningsmekanisme for innsamling av data under “Executive Order 12333” (som ble vurdert problematisk i Schrems II-dommen), samt hvordan den uavhengige domstolen skal kommunisere med klagere vedrørende om det er funnet brudd og klagemulighetene på en eventuell avgjørelse. En del av bekymringene EDPB påpeker er tilsvarende som under det tidligere underkjente Privacy Shield. Det i seg selv tilsier at EU-kommisjonen bør foreta noen justeringer for å unngå en ny runde i domstolen med Max Schrems.
Nå som EDPS har uttalt seg er man et steg nærmere en beslutning, men det er fortsatt en del steg igjen før EU-kommisjonen kan fatte en adekvansbeslutning. Blant annet skal også EU-parlamentet uttale seg. Deretter må adekvansbeslutningen godkjennes av alle EUs medlemsland før EU-kommisjonen kan fatte endelig beslutning. Først da kan adekvansbeslutningen benyttes som overføringsgrunnlag.
Utkastet fra Komitéen vil mest sannsynlig bli stemt over i plenum av EU-Parlamentet i midten av april. Selv om EU-parlamentet stiller seg bak utkastet etter en avstemning, er ikke EU-kommisjonen bundet av dette. EU-Parlamentets samtykke er ikke nødvendig for at EU-kommisjonen vedtar adekvansbeslutningen, men en avvisning av rammeverket kan tyde på at implementeringen av Trans-Atlantic Data Privacy Framework kanskje ikke blir så strømlinjeformet som man hadde håpet på. Kritikken fra Komitéen og bekymringene fra EDPB kan også tas til inntekt for at rammeverket kan stå i fare for å bli felt av EU-domstolen en gang i fremtiden, slik som forgjengerne Privacy Shield og Safe Harbour.
Det gjenstår derfor å se hva EU-kommisjonens endelige beslutning blir.
Denne artikkelen er skrevet av Torodd Aastorp, Jostein Ramse og Silje Skålevåg.