Skyddsnivån på andra sidan vattnet - Om bedömningen av tredjelands skyddsnivå vid överföring av personuppgifter

Sammanfattning: EU anses av många ha en av världens strängaste regleringar för dataskydd. Unionen och dess medlemsstater har dock, likt resten av världen, i och med den globala och tekniska utvecklingen ett intresse av att kunna överföra personuppgifter till tredjeländer. I syfte att balansera det höga integritetsskyddet mot intresset av att överföra personuppgifter till tredjeland, finns i dataskyddsförordningen olika mekanismer för att kunna utföra sådana överföringar. Ett av alternativen tillhandahåller kommissionen möjligheten att fatta beslut om att ett land säkerställer en adekvat skyddsnivå, vilket möjliggör fria överföringar till det landet. Nyligen meddelade EU-domstolen, för andra gången, att ett sådant beslut gällande överföringar till USA ogiltigförklarades, vilket visar på att bedömningen av tredjelands skyddsnivå inte är helt okomplicerad. I dagsläget pågår dessutom en bedömningsprocess av Storbritanniens skyddsnivå, på grund av landets utträde ur unionen. Denna uppsats syftar huvudsakligen till att undersöka hur bedömningen av skyddsnivån i tredjeland förhåller sig till den EU-rättsliga skyddsnivån, samt vilka utmaningar som följer av en sådan bedömning. Utredningen har genomförts med hjälp av den rättsdogmatiska och EU-rättsliga metoden och innefattar presentation av relevant lagstiftning, genomgång av EU-domstolens praxis vad gäller begränsningar av integritetsskyddet samt adekvansbeslut och slutligen en genomgång av förslaget till beslut för Storbritannien. Vid bedömning av om tredjeland säkerställer en adekvat skyddsnivå för personuppgifter, ska EU-kommissionen utreda alla omständigheter som i någon mån påverkar skyddet för personuppgifter. Till exempel ska kommissionen se till landets integritetsrättsliga ramar, tillsynsmekanismer, tillgången till rättsmedel samt vilken åtkomst som offentliga myndigheter har till personuppgifter. I avgörandena om USA:s skyddsnivå, uppger EU-domstolen att en skyddsnivå i tredjeland inte behöver vara identisk med unionens utan endast väsentligen likvärdig. Enligt domstolen utgör dessutom nationella övervakningsprogram utan tydliga syften, begränsningar eller skyddsåtgärder en sådan åtgärd som står i strid med proportionalitetsprincipen, och skyddsnivån ska under sådana omständigheter inte anses adekvat. Kommissionen anser att Storbritannien säkerställer en adekvat skyddsnivå. Enligt europeiska dataskyddstyrelsen föreligger dock ett flertal omständigheter som möjliggör ett ifrågasättande av ett sådant påstående. Till exempel bedriver även Storbritannien omfattande övervakning, och är dessutom part i internationella avtal som möjliggör vidare överföring till länder som inte ansetts säkerställa en adekvat skyddsnivå, som till exempel USA. Begreppet ”väsentligen likvärdig skyddsnivå” antyder att tredjelands skyddsnivå inte behöver vara identisk med EU:s skyddsnivå. Vilket utrymme som finns för avsteg från den EU-rättsliga nivån, är dock inte helt klarlagt. Den bortre gränsen för vad som anses godtagbart verkar bestämmas av huruvida ett beslut om adekvat skyddsnivå skulle riskera att kränka det väsentliga innehållet i de grundläggande rättigheterna enligt EU-stadgan. En utmaning med att bedöma tredjelands skyddsnivå är EU-domstolens förmåga att behandla tredjelands lagstiftning. Ytterligare en utmaning framträder när domstolen ska bedöma skyddsnivån på ett område där lagstiftningen inte är harmoniserad inom EU, som till exempel nationell säkerhet. EU-domstolen har i och med sina avgöranden satt höga krav på vad som ska anses utgöra en adekvat skyddsnivå, och det är möjligt att dessa krav skapar hinder för EU:s samarbete med tredjeländer vad gäller dataöverföringar.