Bryssel den 5 november – Under sitt senaste plenarsammanträde antog Europeiska dataskyddsstyrelsen (EDPB) en rapport om den första översynen* av dataskyddsramen mellan EU och Förenta staterna samt ett uttalande om rekommendationerna från högnivågruppen** om tillgång till uppgifter för effektiv brottsbekämpning.
EDPB välkomnar de amerikanska myndigheternas och Europeiska kommissionens insatser för att genomföra dataskyddsramen och noterar flera händelser som ägt rum sedan beslutet om adekvat skyddsnivå antogs i juli 2023.
När det gäller kommersiella aspekter, dvs. tillämpning och efterlevnad av de krav som gäller för företag som är självcertifierade enligt denna ram, noterar EDPB att Förenta staternas handelsministerium har vidtagit alla relevanta åtgärder för att genomföra certifieringsprocessen. Detta inbegriper utveckling av en ny webbplats, uppdatering av förfaranden, samarbete med företag och genomförande av medvetandehöjande åtgärder.
Dessutom har prövningsmekanismen för enskilda personer i EU genomförts och omfattande riktlinjer för hantering av klagomål har offentliggjorts på båda sidor av Atlanten. Det låga antalet klagomål som hittills mottagits inom ramen för dataskyddsramen understryker dock vikten av att de amerikanska myndigheterna inleder övervakningsverksamhet när det gäller DPF-certifierade företags efterlevnad av de materiella principerna för dataskyddsramen.
Dataskyddsstyrelsen uppmuntrar amerikanska myndigheter att ta fram riktlinjer som klargör de krav som företag som är certifierade enligt dataskyddsramen skulle behöva uppfylla när de överför personuppgifter som de har mottagit från EU-exportörer. Vägledning från amerikanska myndigheter om personaluppgifter skulle också vara välkommen. Europeiska dataskyddsstyrelsen uttrycker sin tillgänglighet för att ge återkoppling om dessa vägledningsdokument.
När det gäller amerikanska offentliga myndigheters tillgång till personuppgifter som överförts från EU till certifierade organisationer fokuserade EDPB på ett effektivt genomförande av de skyddsåtgärder som infördes genom Executive Order 14086 i Förenta staternas rättsliga ram, såsom nödvändighets- och proportionalitetsprinciperna och den nya prövningsmekanismen. Nämnden anser att inslagen i prövningsmekanismen är på plats. Samtidigt förnyas uppmaningen till kommissionen att övervaka hur de olika skyddsåtgärderna fungerar i praktiken, t.ex. genomförandet av nödvändighets- och proportionalitetsprinciperna. EDPB rekommenderar också att kommissionen övervakar den framtida utvecklingen i samband med den amerikanska lagen om övervakning av utländsk underrättelseverksamhet (Foreign Intelligence Surveillance Act), särskilt med tanke på den utvidgade räckvidden för avsnitt 702 efter det att det godkänts på nytt av den amerikanska kongressen tidigare i år.
Europeiska dataskyddsstyrelsens vice ordförande Zdravko Vukić sade: ”Viär glada över att framsteg har gjorts sedan beslutet om adekvat skyddsnivå antogs tack vare det givande samarbetet mellan amerikanska myndigheter, EU-kommissionen och Europeiska dataskyddsstyrelsen. Samtidigt finns det fortfarande utrymme för förbättringar, och vi bör fortsätta att arbeta tillsammans för att upprätthålla en hög dataskyddsnivå och skydda EU-medborgarnas rättigheter och friheter.”
Slutligen rekommenderar dataskyddsstyrelsen att nästa översyn av beslutet om adekvat skyddsnivå mellan EU och Förenta staterna bör äga rum inom tre år eller mindre.
Uttalandet om högnivågruppens rekommendationer om tillgång till uppgifter för effektiv brottsbekämpning understryker att de grundläggande rättigheterna måste skyddas när brottsbekämpande organ får tillgång till enskilda personers personuppgifter. EDPB stöder målet om effektiv brottsbekämpning, men påpekar att vissa av högnivågruppens rekommendationer kan orsaka allvarliga intrång i de grundläggande rättigheterna, särskilt respekten för privatlivet och familjelivet.
EDPB noterar med tillfredsställelse att rekommendationen kan leda till lika villkor för lagring av uppgifter, men anser att en bred och allmän skyldighet för alla tjänsteleverantörer att lagra uppgifter i elektronisk form skulle skapa ett betydande ingrepp i enskildas rättigheter. EDPB ifrågasätter därför om detta skulle uppfylla kraven på nödvändighet och proportionalitet i EU:s stadga om de grundläggande rättigheterna och EU-domstolens rättspraxis.
I sitt uttalande betonar EDPB också att rekommendationerna om kryptering inte bör hindra dess användning eller försvaga effektiviteten i det skydd som den tillhandahåller. Till exempel skulle införandet av en process på klientsidan som möjliggör fjärråtkomst till data innan den krypteras och skickas på en kommunikationskanal, eller efter att den dekrypterats hos mottagaren, i praktiken försvaga krypteringen. Det är viktigt att bevara krypteringens skydd och effektivitet för att undvika att respekten för privatlivet och sekretessen påverkas negativt och för att säkerställa att yttrandefriheten och den ekonomiska tillväxten, som är beroende av tillförlitlig teknik, skyddas.
Meddelande till redaktörer
* I enlighet med artikel 3 i beslutet om adekvat skyddsnivå mellan EU och Förenta staterna är EU-kommissionen skyldig att se över beslutet om adekvat skyddsnivå ett år efter antagandet. Översynsmötet hölls i Washington D.C. den 18–19 juli 2024 och EU-kommissionen åtföljdes av fem företrädare för Europeiska dataskyddsstyrelsen.
** Högnivågruppen lanserades av EU-kommissionen i juni 2023 och leds gemensamt av EU-kommissionen och rådets roterande ordförandeskap. Den lanserades i syfte att undersöka utmaningar för rättstillämpare när det gäller tillgång till uppgifter och föreslå lösningar och rekommendationer.
I juni 2024 offentliggjorde högnivågruppen 42 rekommendationer för vidareutveckling av EU:s politik och lagstiftning, strukturerade som ”kapacitetsuppbyggnadsåtgärder”, ”samarbete med industrin och standardisering” och ”lagstiftningsåtgärder”. Rekommendationerna omfattar särskilt kryptering, samarbete med industrin och mellan brottsbekämpande organ samt behovet av harmoniserade regler för lagring av uppgifter.
Pressmeddelandet som publiceras här har översatts automatiskt från engelska. EDPB garanterar inte att översättningen är korrekt. Vänligen se den officiella texten i den engelska versionen om det finns några tvivel.