Perspektiv

Nytt avtal mellan EU och USA ersätter Safe Harbor-principerna 

EU-domstolen har tidigare beslutat att ogiltigförklara USA:s Safe Harbor-reglering vilket innebär att överföringar av personuppgifter till USA som tidigare skett med stöd av EU-kommissionens beslut om Safe Harbor nu anses olagliga. Den 2 februari 2016 meddelade EU-kommissionen och amerikanska handelsdepartementet att man kommit överens om ett nytt politiskt avtal för överföring av personuppgifter kallat The EU-US Privacy Shield. 

Publicerad: 2016-02-12

The EU-US Privacy Shield

Avtalet innebär kortfattat att europeiska medborgerliga rättigheter ska respekteras av amerikanska företag och myndigheter genom införande av striktare regler, översyn och förhindrande av generell access till personuppgifter. 

Även om avtalet ännu inte slutligen antagits har EU-kommissionen i en pressrelease informerat om att avtalet bland annat innefattar följande delar: 

  • Amerikanska företag som vill behandla personuppgifter från EU måste acceptera stränga krav på hur personuppgifter behandlas och att individuella rättigheter garanteras.
  • Amerikanska Department of Commerce kommer att övervaka att företagen offentliggör sina åtaganden vilket gör att Federal Trade Commission kan säkerställa att reglerna verkställs. Vidare kommer amerikanska företag som hanterar så kallad human resources data från EU vara tvungna att följa de europeiska dataskyddsmyndigheternas beslut.
  • USA har gett EU skriftliga garantier om att offentliga myndigheter för brottsbekämpning och de nationella säkerhetstjänsternas insyn i personuppgifter som tillhör europeiska medborgare kommer att begränsas. Amerikanska myndigheter kommer endast att få tillgång till personuppgifter från EU om de kan visa på att det är nödvändigt och proportionerligt. Man kommer därför inte att kunna genomföra massövervakningsåtgärder på samma sätt som tidigare. EU och USA kommer tillsammans att genomföra en årlig översyn över vilka kontroller amerikanska myndigheter genomför av europeiska medborgare för att på så sätt säkerställa att överenskommelsen vidmakthålls.
  • EU-medborgare kommer att ges flera möjligheter till upprättelse. En EU-medborgare som anser att dennes uppgifter inte behandlats i enlighet med EU-US Privacy Shield, kommer att ges flera olika möjligheter att få sin sak prövad. Om det rör agerande från ett företags sida kommer företaget att ges en viss tid för att bemöta klagomålet. Om klagomålet istället framförs till en europeisk dataskyddsmyndighet, kan myndigheten välja att hänvisa klagomålet direkt vidare till en av sina amerikanska motsvarigheter. Dessutom ska kostnadsfria, alternativa tvistlösningssystem utvecklas.

Nästa steg

EU-kommissionen ska ta fram ett så kallat beslut om adekvat skyddsnivå, som ska läggas fram inför Artikel 29-gruppen och Rådet för att avgöra huruvida EU-US Privacy Shield i tillräcklig utsträckning adresserar de problem som EU-domstolen ansåg fanns med Safe Harbor-principerna. EU-kommissionen väntas anta avtalet inom tre månader. På samma sätt måste amerikanska myndigheter få alla nödvändiga åtgärder på plats innan avtalet kan anses gällande.

Här hittar du kommissionens pressrelease i sin helhet >

Deloittes kommentar

EU fortsätter arbetet med att undersöka huruvida standardavtalsklausuler och binding corporate rules ska kunna tillämpas framöver med hänsyn till de grunder som resulterade i underkännande av Safe Harbor-principerna. Lagstiftarna är dock av åsikten att genom införande av de föreslagna kontrollerna under EU-US Privacy Shield-avtalet kommer dessa grunder spela mindre roll och man har åtagit sig att presentera en gemensam syn i frågan i slutet av mars. Företag kommer oförändrat att kunna använda sig av standardavtalsklausuler och binding corporate rules åtminstone fram till dess. 

Hade du nytta av den här informationen?