Dom från tribunalen i mål T-553/23 | Latombe mot kommissionen
Tribunalen har nyligen prövat ett mål där den franske medborgaren Philippe Latombe försökte få ogiltigförklarat EU-kommissionens beslut från juli 2023 om ett nytt ramverk för överföring av personuppgifter mellan EU och USA. Han hävdade bland annat att den amerikanska instansen Data Protection Review Court (DPRC) inte är oberoende samt att amerikanska underrättelsetjänsters omfattande insamling av persondata strider mot EU-rätten. Bakgrunden är att EU tidigare underkänt två liknande avtal (Schrems I och II), men efter att USA infört nya regler om integritetsskydd och tillsyn, bland annat genom en särskild granskningsdomstol (DPRC), antog kommissionen sommaren 2023 ett nytt adekvansbeslut.
Domstolen avvisade emellertid Latombes talan i sin helhet. Den framhöll att DPRC:s domare omfattas av flera garantier för oberoende, däribland särskilda regler för utnämning och avsked, samt att varken justitieministern eller underrättelseorganen får påverka deras arbete. Dessutom konstaterades att kommissionen är skyldig att fortlöpande följa hur det amerikanska systemet fungerar och har möjlighet att ändra eller upphäva sitt beslut om förutsättningarna förändras.
När det gäller underrättelsetjänsternas datainsamling menade domstolen att Schrems II-domen inte kräver förhandsprövning av en oberoende myndighet, utan att det räcker med en efterhandskontroll. En sådan kontroll finns enligt amerikansk lag genom DPRC:s tillsyn. Därmed ansåg domstolen att det amerikanska systemet uppfyller EU-rättens krav på en i huvudsak likvärdig skyddsnivå.
Slutsatsen blev därför att EU:s nya dataskyddsramverk med USA är giltigt och att Latombes invändningar saknar grund.
Latombe-domen fastslår att adekvansbeslutet mot USA står fast!
Vad innebär detta beslut för organisationer som företag och myndigheter?
Beslutet innebär att ramverket, EU–US Data Privacy Framework, står fast. Organisationer i EU kan därför fortsätta att överföra personuppgifter till USA utan att behöva använda extra skyddsåtgärder (som standardavtalsklausuler eller bindande företagsbestämmelser), så länge mottagaren i USA är ansluten till ramverket. Efter Schrems I och II var det osäkert och riskfyllt att överföra data till USA, eftersom de tidigare ramverken (Safe Harbour och Privacy Shield) ogiltigförklarades. Sedan juli 2023 har vi haft ett adekvansbeslut mellan USA och EU och det står alltså nu fast tills vidare. Detta beslut ger således mer stabilitet för organisationer.
Kommissionen måste löpande övervaka att USA upprätthåller det utlovade skyddet. Om skyddsnivån försämras kan kommissionen ändra eller upphäva beslutet, vilket innebär att organisationer behöver hålla sig uppdaterade. Även om tribunalen avvisade LaTombes talan, finns risken att frågan tas upp i EU-domstolen (överklagande pågår eller kan komma). Organisationer bör därför vara medvetna om att rättsläget kan ändras igen, som det gjorde efter Schrems I och II.
Sammanfattningsvis innebär beslutet att det för närvarande är lagligt för organisationer inom EU att överföra personuppgifter till USA under det nya ramverket, så länge de mottagande aktörerna är anslutna till ramverket. Samtidigt bör man följa utvecklingen noga eftersom framtida rättsprocesser kan förändra läget.
OBS! Notera att alla organisationer emellertid behöver göra sin egen riskbedömning i varje enskilt fall.
Artikel 4 i AI-förordningen trädde i kraft den 2 februari 2025, vilket innebär att kravet på att säkerställa AI-kompetens hos personal redan gäller. Reglerna kring tillsyn och verkställande trädde i kraft den 2 augusti 2025.
Enligt den nya AI-förordningen är det obligatoriskt för leverantörer och användare av AI-system att vidta nödvändiga steg för att garantera att deras personal och andra som ansvarar för drift och användning av AI har tillräcklig kompetens inom AI. Detta ska anpassas efter individernas tekniska bakgrund, erfarenhet och utbildning, samt med hänsyn till det specifika sammanhang där AI-systemen används, liksom de personer eller grupper som påverkas av dessa system.
Med AI-kompetens avses enligt AI-förordningen den kunskap, förståelse och förmåga som gör det möjligt för leverantörer, användare och andra berörda parter att på ett välgrundat sätt implementera AI-system. Det innebär även en medvetenhet om både möjligheter och risker med AI samt om de potentiella skador som kan uppstå.
Syftet med lagkravet på ”AI-kunnighet” är att skydda grundläggande rättigheter, hälsa och säkerhet samt att möjliggöra demokratisk kontroll över användningen av AI. AI-kompetens ska utrusta alla inblandade med de nödvändiga begreppen för att kunna fatta informerade beslut kring AI-system. Dessa begrepp varierar beroende på sammanhanget och kan omfatta allt från korrekt användning av tekniska komponenter under utvecklingsfasen, till nödvändiga åtgärder under driftsfasen, tolkning av AI-systemets resultat och – för de som påverkas av AI-beslut – förståelse för hur dessa beslut kan påverka dem.
Vidare påpekas i motiveringen att AI-kompetens ska ge samtliga aktörer i AI-ekosystemet den insikt som krävs för att säkerställa korrekt efterlevnad av förordningen. Genom att brett implementera åtgärder för att höja AI-kompetensen och införa passande uppföljning, kan man även förbättra arbetsmiljön och stödja utvecklingen av pålitlig AI inom EU.
Kravet på AI-kompetens är en central del i att säkerställa att alla som är leverantörer eller ansvariga för driften av AI-system förser sin personal med rätt kunskap och förståelse för de system de arbetar med. Det omfattar alla i organisationen som är direkt involverade med AI-systemen och stärker därmed även reglerna om transparens (artikel 13) och mänsklig tillsyn (artikel 14) i AI-förordningen. Samtidigt bidrar detta krav till att skydda de individer som påverkas, eftersom det möjliggör en effektiv implementering av förordningens regler.
2025-04-11
Det är viktigt att organisationer nu bevakar utvecklingen i USA och om EU kommissionen beslutar att ogiltigförklara adekvansbeslutet som gäller mot USA.
Att överföra personuppgifter till ett land utanför EU/EES ska uppfylla vissa villkor. Sedan 2023 finns ett beslut om adekvat skyddsnivå för USA. Mellan EU-USA finns en överenskommelse hur uppgifter ska skyddas i USA så kallad EU-U.S. Data Privacy Framework. Personuppgifter får överföras till amerikanska verksamheter som är registrerade i Data Privacy Framework List. Övriga regler i dataskyddsförordningen, GDPR måste följas.
I EU kommissisonens beslut om adekvat skyddsnivå betonar kommissionen vikten av Privacy and Civil Liberties Oversight Board (PCLOB). PCLOB har till uppgift att övervaka den amerikanska underrättelsetjänsten och se till att insamlade personuppgifter hanteras korrekt.
För närvarande finns dock endast en kvarvarande ledamot i PCLOB, eftersom majoriteten har blivit avskedade av USA:s president. Detta innebär att PCLOB saknar beslutanderätt, vilket väcker frågan om hur detta kan påverka EU-kommissionens bedömning av en adekvat skyddsnivå. EU övervakar löpande situationen i de länder där ett beslut om adekvat skyddsnivå har fastställts. Om det visar sig att skyddsnivån inte längre är tillräcklig kan kommissionen besluta att ändra, återkalla eller upphäva sitt tidigare beslut.
Ett beslut om adekvat skyddsnivå förblir giltigt tills EU-kommissionen antingen ändrar, drar tillbaka eller upphäver det, alternativt om EU-domstolen ogiltigförklarar det. Det betyder att förändringar i USA inte automatiskt påverkar beslutets status. Däremot följer EU-kommissionen kontinuerligt utvecklingen och gör regelbundna bedömningar av eventuella förändringar. Vår svenska tillsynsmyndighet, IMY, ingen befogenhet att upphäva ett beslut om adekvat skyddsnivå eller stoppa dataöverföringar som genomförs enligt ett sådant beslut.
2025-04-10
1 april 2025 trädde nya regler om kameraövervakning i kraft. Kameraövervakning tillåts utan ansökan hos IMY. Dokumenterad intresseavvägning ska göras för ansökan om tillstånd i fortsatt samråd med IMY innan känslig bevakning införs. Kraven omfattarar all bevakning i verksamhet, inte bara tillståndspliktig. Den som har behövt ansöka om tillstånd tidigare om bevakning ska intresseavväga själv mellan bevakningsintresset och den enskildes intresse att inte bli bevakad. Intresseavvägning ska dokumenteras och bevakare ska ha förteckning med viss information om kamerabevakning eller sådan kamerabevakning som har upphört de senaste fem åren.
Myndigheter som kamerabevakar i brottsbekämpande syfte får utökade befogenheter att kamerabevaka. Kommuner, regioner och andra myndigheter ska göra en bedömning om det är tillåtet att börja med bevakning. De som redan har ett tillstånd för bevakning från IMY gäller tillståndet, om omständigheterna inte ändrats sedan godkännande.
BARZEY ADVOKATBYRÅ AB
Vi erbjuder våra klienter ett kvarts sekels kunskap.
Kontakta ossBarzey Advokatbyrå AB | Box 5216, 102 45 Stockholm | Besök: Nybrogatan 34