EU-US Data Privacy Framework och tredjelandsöverföringar
EU-domstolens tribunal har i mål T-553/23 avslagit en begäran om att ogiltigförklara kommissionens adekvansbeslut för EU-US Data Privacy Framework. Domstolen slår fast att USA, vid tidpunkten för beslutet den 10 juli 2023, säkerställde en adekvat skyddsnivå för personuppgifter som överfördes från EU till organisationer i USA som deltog i EU-US Data Privacy Framework. Målet rör internationella överföringar och invändningar mot bland annat Data Protection Review Court.
T-553/23: Vad handlade rättsfallet om?
Målet väcktes av en enskild som använde IT-plattformar som samlade in personuppgifter som överfördes till USA. Han begärde att kommissionens beslut om adekvat skyddsnivå skulle ogiltigförklaras. Invändningarna gällde både oberoendet hos Data Protection Review Court (DPRC) och lagligheten i amerikansk underrättelseinhämtning.
EU-domstolens tribunal prövade om den rättsliga ramen i USA, inklusive en presidentorder och en förordning från Attorney General, gav tillräckliga garantier. Tribunalen noterade också att kommissionen är skyldig att fortlöpande övervaka tillämpningen och vid behov ändra, begränsa eller upphäva beslutet. Domstolen avvisade talan och det innebär att EU-US Data Privacy Framework fortfarande ger en överföringsmekanism vad gäller personuppgifter till USA.
Vilka delar av GDPR prövades i målet om överföringar till USA?
Prövningen utgick från regelverket om överföringar till tredje land enligt Dataskyddsförordningen (EU) 2016/679. Frågan gällde om kommissionens genomförandebeslut (EU) 2023/1795 innebar att mottagarlandet säkerställde en skyddsnivå som i allt väsentligt motsvarar EU-rätten. Som bekant har tidigare adekvansbeslut för USA ogiltigförklarats i Schrems I och Schrems II, vilket satte ramen för denna kontroll.
Domstolen bedömde särskilt om det fanns effektiva rättsmedel och oberoende tillsyn genom DPRC. Den konstaterade också att bulkinsamling inte nödvändigtvis kräver förhandstillstånd, men ska vara underkastad efterhandskontroll. Mot denna bakgrund fann domstolen att kraven enligt EU-rätten var uppfyllda.
Varför är domen om EU-US Data Privacy Framework viktig för företag och organisationer?
Domen ger klarhet i att överföringar till certifierade mottagare i USA kan ske med stöd av det gällande adekvansbeslutet. Den förtydligar också vikten av rättsmedel och tillsyn i mottagarlandet. Kommissionens löpande uppföljning innebär dessutom en inbyggd kontrollmekanism.
- Visar att adekvat skyddsnivå kan grundas på nya rättssäkerhetsgarantier i USA.
- Klargör att efterhandskontroll kan uppfylla kraven för underrättelseinhämtning.
- Bekräftar kommissionens skyldighet till fortlöpande övervakning och möjlighet att ändra adekvansbeslutet.
- Ger förutsebarhet för EU-organisationer som planerar transatlantiska dataflöden.
GDPR-lärdomar för företag efter domen om överföringar till USA
Företag kan fortsatt förlita sig på det existerande adekvansbeslutet vid överföringar till USA, under förutsättning att mottagaren omfattas av EU-US Data Privacy Framework. Organisationer bör kartlägga vilka flöden som berörs och se över dokumentation och informationstexter. Följ kommissionens uppföljningar och var beredd på justeringar om beslutet ändras. Brister kan leda till tillsyn, sanktioner och minskat förtroende.
