Sammanfattning av Europeiska datatillsynsmannens yttrande om utkastet till beslut om huruvida ett adekvat skydd säkerställs genom bestämmelserna om integritetsskydd mellan EU och Förenta staterna

(Den fullständiga texten till detta yttrande finns på engelska, franska och tyska på Europeiska datatillsynsmannens webbplats www.edps.europa.eu)

(2016/C 257/05)

I.   Inledning

Den 6 oktober 2015 ogiltigförklarade Europeiska unionens domstol (nedan kallad EU-domstolen) (1) beslutet om adekvat skyddsnivå i fråga om safe harbor (2). Den 2 februari 2016 ingick Europeiska kommissionen en politisk överenskommelse med Förenta staterna om ett nytt regelverk för överföring av personuppgifter, bestämmelserna om integritetsskydd mellan EU och Förenta staterna (nedan kallad skölden för skydd av privatlivet). Den 29 februari offentliggjorde kommissionen ett utkast till beslut om huruvida detta nya regelverk erbjöd en adekvat skyddsnivå (nedan kallat utkastet till beslut) (3) tillsammans med sju bilagor, inklusive principerna för skölden för skydd av privatlivet och skrivelser och åtaganden från amerikanska tjänstemän och myndigheter. Datatillsynsmannen mottog utkastet till beslut för samråd den 18 mars 2016.

Datatillsynsmannen har uttryckt sin ståndpunkt i fråga om överföringar av personuppgifter mellan EU och Förenta staterna vid ett flertal tillfällen (4) och har som medlem i artikel 29-gruppen bidragit till gruppens yttrande om utkastet till beslut (5). Artikel 29-gruppen har lyft fram allvarliga farhågor och uppmanat Europeiska kommissionen att ta fram lösningar för att bemöta dem. Medlemmarna i artikel 29-gruppen förväntar sig att alla de förtydliganden som begärs i yttrandet också kommer att lämnas (6). Den 16 mars lämnade 27 ideella organisationer sin kritik mot utkastet till beslut i en skrivelse till EU:s och Förenta staternas myndigheter (7). Den 26 maj antog Europaparlamentet en resolution om transatlantiska dataflöden (8) där kommissionen uppmanas att förhandla med Förenta staterna om ytterligare förbättringar av skölden för skydd för privatlivet mot bakgrund av dess nuvarande brister (9).

Som oberoende rådgivare för EU-lagstiftarna enligt förordning (EG) nr 45/2001 utfärdar datatillsynsmannen härmed rekommendationer till de parter som deltar i processen, framför allt kommissionen. Råden är avsedda att gälla såväl principer som praktiska frågor och syftar till att aktivt hjälpa EU att nå sina mål med adekvata åtgärder. Yttrandet kompletterar och understryker vissa, men inte alla, rekommendationer i artikel 29-gruppens yttrande.

Utkastet till beslut innehåller flera förbättringar jämfört med safe harbor-beslutet, särskilt när det gäller principerna för behandling av uppgifter för kommersiella ändamål. När det gäller offentliga myndigheters tillgång till uppgifter som överförs inom ramen för skölden för skydd av privatlivet välkomnar vi också att Department of Justice, Department of State och Office of the Director of National Intelligence för första gången har deltagit i förhandlingarna. Framstegen i förhållande till det tidigare safe harbor-beslutet räcker dock inte i sig. Ett tidigare ogiltigförklarat beslut kan inte vara ett lämpligt riktmärke, eftersom beslutet om adekvat skyddsnivå måste baseras på den gällande EU-rättsliga ramen (framför allt direktivet i sig, artikel 16 i fördraget om Europeiska unionens funktionssätt och artiklarna 7 och 8 i EU-stadgan om de grundläggande rättigheterna, såsom de har tolkats av EU-domstolen). Artikel 45 i EU:s allmänna dataskyddsförordning) (10) kommer att ställa nya krav på uppgiftsöverföring utifrån ett beslut om adekvat skyddsnivå.

Förra året bekräftade EU-domstolen att det avgörande för bedömningen av en adekvat skyddsnivå är att skyddet är ”väsentligen likvärdigt” och begärde en strikt bedömning utifrån denna högt ställda norm (11). En adekvat skyddsnivå innebär inte att det måste införas en ram som är identisk med den som finns i EU, men som helhet bör skölden för skydd av privatlivet och Förenta staternas rättsordning omfatta alla de viktiga delarna i EU:s regelverk för dataskydd. För detta krävs både en övergripande bedömning av rättsordningen och en granskning av de viktigaste delarna i EU:s regelverk för dataskydd (12). Vi antar att bedömningen bör göras i ett globalt perspektiv, med hänsyn till det väsentliga i dessa delar. På grund av fördraget och stadgan måste även särskilda delar, såsom oberoende övervakning och rättslig prövning, beaktas.

Datatillsynsmannen är medveten om att många organisationer på båda sidor om Atlanten väntar på resultatet av detta beslut om adekvat skyddsnivå. Följderna av en ny ogiltigförklaring av EU-domstolen kan emellertid bli betungande när det gäller den rättsliga osäkerheten för registrerade och bördan för i synnerhet små och medelstora företag. Om utkastet till beslut antas och senare ogiltigförklaras av EU-domstolen måste en eventuell ny ordning för adekvat skydd dessutom förhandlas inom ramen för den allmänna dataskyddsförordningen. Därför rekommenderar vi en framåtblickande strategi, med hänsyn till att den allmänna dataskyddsförordningen ska tillämpas fullt ut om två år.

Utkastet till beslut är viktigt för förbindelserna mellan EU och Förenta staterna, samtidigt som handels- och investeringsförhandlingar pågår. Dessutom har många av de delar vi tar upp i vårt yttrande indirekt betydelse för både skölden för skydd av privatlivet och andra överföringsverktyg, till exempel bindande företagsbestämmelser och standardavtalsklausuler. Utkastet har också global betydelse, eftersom många tredjeländer kommer att följa det noggrant med hänsyn till antagandet av EU:s nya regelverk för dataskydd.

Därför skulle vi välkomna en allmän lösning för överföringar mellan EU och Förenta staterna, förutsatt att den är tillräckligt heltäckande och gedigen. För detta krävs kraftiga förbättringar för att säkerställa en hållbar långsiktig respekt för våra grundläggande rättigheter och friheter. Om beslutet antas måste det, efter en första utvärdering av Europeiska kommissionen, ses över snabbt så att man kan kartlägga de åtgärder som behövs för mer långsiktiga lösningar som kan ersätta en sköld för skydd av privatlivet med en mer kraftfull och stabil rättslig ram för att förbättra de transatlantiska förbindelserna.

Trots den senaste tidens utveckling bort från urskillningslös generell övervakning mot mer målinriktade och selektiva metoder konstaterar datatillsynsmannen utifrån utkastet till beslut och dess bilagor också att omfattningen av signalspaning och mängden uppgifter som överförs från EU och som skulle kunna samlas in och användas efter överföringen och framför allt under transitering sannolikt fortfarande kommer att vara stor och därför kan ifrågasättas.

Även om denna praxis också kan gälla underrättelser i andra länder och även om vi välkomnar Förenta staternas myndigheters öppenhet i fråga om denna nya verklighet, kan det nuvarande utkastet till beslut tolkas som att detta system legitimeras. Denna fråga kräver en seriös offentlig demokratisk granskning. Därför uppmuntrar vi Europeiska kommissionen att lämna ett kraftfullare budskap: med hänsyn till EU:s skyldigheter enligt Lissabonfördraget bör offentliga myndigheter endast i undantagsfall få tillgång till och använda uppgifter som har överförts för kommersiella ändamål, inklusive när uppgifterna är i transit, när det är nödvändigt för särskilt angivna ändamål i det allmännas intresse.

Dessutom konstaterar vi att de viktigaste detaljerna i de väsentliga skrivelser som är relevanta för enskilda personers privatliv i EU endast verkar ha utarbetats internt för Förenta staternas myndigheter (till exempel uttalanden om eventuell signalspaning i transatlantiska kablar) (13). Även om vi inte ifrågasätter de framstående författarnas auktoritet och förstår att dessa skrivelser när de har offentliggjorts i Europeiska unionens officiella tidning och Federal Register kommer att betraktas som ”skriftliga försäkringar” som ligger till grund för EU:s bedömning, konstaterar vi rent generellt att vissa av dem är så pass viktiga att de borde ha ett högre rättsligt värde.

Utöver lagstiftningsändringar och internationella avtal (14) skulle man kunna undersöka andra praktiska lösningar. Syftet med vårt yttrande är att ge pragmatiska råd om detta.

IV.   Slutsats

Datatillsynsmannen välkomnar parternas ansträngningar för att hitta en lösning på överföringar av personuppgifter från EU till Förenta staterna för kommersiella ändamål inom ramen för ett system med självcertifiering. Det krävs dock kraftfulla förbättringar för att skapa en hållbar ram som är stabil på lång sikt.

(1)  Domstolens dom av den 6 oktober 2015, Maximillian Schrems/Data Protection Commissioner, C-362/14, ECLI:EU:C:2015:650 (nedan kallat Schremsmålet).

(2)  Europeiska kommissionens beslut 2000/520/EG av den 26 juli 2000 enligt Europaparlamentets och rådets direktiv 95/46/EG om huruvida ett adekvat skydd säkerställs genom de principer om integritetsskydd (Safe Harbor Privacy Principles) i kombination med frågor och svar som Förenta staternas handelsministerium utfärdat [delgivet med nr K(2000) 2441] (EGT L 215, 25.8.2000, s. 7).

(3)  Kommissionens genomförandebeslut av den XXX enligt Europaparlamentets och rådets direktiv 95/46/EG om huruvida ett adekvat skydd säkerställs genom bestämmelserna om integritetsskydd mellan EU och Förenta staterna. Utkastet till beslut finns på http://ec.europa.eu/justice/data-protection/files/privacy-shield-adequacy-decision_en.pdf.

(4)  Se Europeiska datatillsynsmannens yttrande av den 20 februari 2014 om kommissionens meddelande till Europaparlamentet och rådet om återskapande av förtroendet för dataflöden mellan EU och Förenta staterna och om kommissionens meddelande till Europaparlamentet och rådet om hur principerna om integritetsskydd (safe harbor) fungerar när det gäller EU:s medborgare och företag som är etablerade i EU samt datatillsynsmannens plädering vid förhandlingen i EU-domstolen i Schremsmålet. Pläderingen finns på https://secure.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/Consultation/Court/2015/15-03-24_EDPS_Pleading_Schrems_vs_Data_Commissioner_EN.pdf).

(5)  Artikel 29-gruppens yttrande 1/2016 om beslutet om huruvida ett adekvat skydd säkerställs genom bestämmelserna om integritetsskydd mellan EU och Förenta staterna (WP 238). Yttrandet finns på http://ec.europa.eu/jus.tice/data-protection/article-29/documentation/opinion-recommendation/files/2016/wp238_en.pdf.

(6)  Se även inledningstalet av Förenade kungarikets Information Commissioner Christopher Graham vid IAPP Europe Data Protection Intensive-konferensen 2016 i London. Talet (video) finns på https://iapp.org/news/video/iapp-europe-data-protection-intensive-2016-christopher-graham-keynote/.

(7)  Skrivelse till artikel 29-gruppen och andra institutioner, undertecknad av Access Now och ytterligare 26 icke-statliga organisationer.

(8)  Europaparlamentets resolution av den 26 maj 2016 om transatlantiska dataflöden (2016/2727(RSP)).

(9)  Idem, punkt 14.

(10)  Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) (EUT L 119, 4.5.2016, s. 1).

(11)  Schremsmålet, punkterna 71, 73, 74 och 96.

(12)  Denna metod togs upp redan i ett av de tidigaste arbetsdokumenten från artikel 29-gruppen om uppgiftsöverföringar (WP12: Arbetsdokument – Överföring av personuppgifter till tredje land: tillämpning av artiklarna 25 och 26 i EU:s dataskyddsdirektiv, av den 24 juli 1998).

(13)  Se till exempel förtydligandena i bilaga VI.1. a om att PPD28 skulle tillämpas på uppgifter som samlas in från transatlantiska kablar av Förenta staternas underrättelsetjänster.

(14)  Vid EU-domstolens förhandling i Schremsmålet konstaterade datatillsynsmannen att den enda effektiva lösningen är att förhandla fram ett internationellt avtal som ger adekvat skydd mot urskillningslös övervakning, inklusive skyldigheter om tillsyn, öppenhet, rättslig prövning och dataskyddsrättigheter, datatillsynsmannens plädering i EU-domstolen den 24 mars 2015 i mål C-362/14 (Schrems/Data Protection Commissioner).