Välkommen till Delphi Data Protection Blog! Vi kan förvänta oss stora förändringar i kraven på företags och myndigheters hantering av data. Inom EU pågår nämligen en lagstiftningsprocess om en ny reglering om skydd för personuppgifter ("dataskyddsförordningen"). Den här bloggen drivs av jurister i Advokatfirman Delphis TMT/IP-grupp i samarbete med Christine Kirchberger, doktorand vid Institutet för rättsinformatik på Stockholms universitet. Bloggen syftar till att öka medvetenheten om den kommande regleringen och peka på hur reglerna på dataskyddsområdet kan komma att ändras. Vi följer utvecklingen och uppdaterar självklart även om andra nyheter på området.

EU kommissionen publicerar beslutet om Privacy Shield

I veckan har Europeiska kommissionen publicerat sitt beslut om Privacy Shield och överföring av personuppgifter från EU till USA. Kommissionen kommer fram till (i skäl 13 och Artikel 1) att USA uppfyller en adekvat skyddnivå i enlighet med Artikel 25(2) i dataskyddsdirektivet inom ramverket Privacy Shield. Privacy Shield består av principerna som utfärdats av amerikanska näringsdepartementet (Department of Commerce) och som återfinns i Annex II av beslutet. Organisationer som följer principerna kommer finnas på en Privacy Shield lista som Department of Commerce ansvarar för. Lika som Safe Harbour innan bygger Privacy Shield på ett system av självcertifiering där organisationer lovar att följa vissa principer, EU-U.S. Privacy Shield Framework Principles.

EU-U.S. Privacy Shield Framework Principles

Principerna handlar bl.a. om 

  • information till de registrerade (Notice Principle, skäl 20);
  • begränsning av personuppgifter beroende på ändamålen (Data Integrity and Purpose Limitation Principle, skäl 21);
  • en opt-out rättighet för de registrerade i fall ett nytt ändamål införs som är kompatibel med det ursprungliga ändamålet (Choice Principle, skäl 22);
  • säkerhet (Security Principle, skäl 24);
  • tillgång till information om sina egna personuppgifter, mot en inte för hög avgift (Access Principle, skäl 25);
  • effektiva möjligheter till prövning som den personuppgiftsansvarige måste tillhandahålla (Recourse, Enforcement and Liability Principle, skäl 26)

Enligt skäl 65 ska en Privacy Shield Ombudsman inrättas i USA för dataskyddsfrågor i samband med “national security”. Ett flertal punkter i Europeiska kommissions beslut handlar just om USA:s säkerhetsåtgärder och amerikanska myndigheters bearbetning av personuppgifter.

Reaktionerna

Som tidigare har reaktionerna varit blandade. Europeiska kommissionen är självklart positiva och anser att Privacy Shield är ett robust system:

Å andra sidan tycker Jan-Philipp Albrecht, Europaparlamentarier som var rapporteur i LIBE utskottet för nya dataskyddsförordningen, och Max Schrems, som var en av parterna i EU domen där Safe Harbour upphävdes, att EU borde vänta med Privacy Shield eftersom den skulle kunna följa ödet av Safe Harbour och bli ogiltigförklarad i EU domstolen. Bland annat påpekar de att:

Privacy Shield is meant to be based on “notice and choice”, which sounds promising. However, Privacy Shield does not give users much “choice”. It actually gives companies a general blanket approval to use the personal data of any person under the sun. Only in two specific cases can users object.

They would first have to know which US company was using their data, and then contact the company and actively “opt out”. This gives US companies a significant competitive advantage over European firms. Under the European “opt-in” system, companies typically have to ask customers for consent.

En sak kan säkert påstås: osäkerheten om överföring av personuppgifter mellan EU och USA har minskat en del, men frågan återstår om en slutgiltlig lösning verkligen har hittats.

Ytterligare information

En översikt över Privacy Shield från Europeiska kommissionen finns här som pdf, hela beslutet kan läsas här som pdf. Kommissionens har även skapat en egen sida om Privacy Shield.

This entry was posted in Internationellt, Nyheter. Bookmark the permalink. Follow any comments here with the RSS feed for this post. Post a comment .

Kommentera

  • ANSVAR – RÄTTIGHETER – INTEGRITET

    Innehållet i denna blogg är av allmän karaktär och är inte att betrakta som rådgivning. Användning av innehållet på bloggen sker på egen risk. Advokatfirman Delphi ansvarar inte för innehållet på de webbplatser som Delphis webbplats länkar till. Vid länkning till denna blogg eller till Delphis webbplats skall länkning göras till startsidan. Advokatfirman Delphi kan inte garantera säker överföring eller konfidentiell hantering av information som överförs via webbplatsen. Kommunikation till Advokatfirman Delphi via webbplatsen innebär inte att det föreligger ett klient-/rådgivarförhållande mellan Advokatfirman Delphi och avsändaren. Advokatfirman Delphi förbehåller sig alla rättigheter till innehållet på webbplatsen. För de områden på webbplatsen där andra villkor för användande anges skall dessa gälla.