Visitor Analytics
Skip to main content

Privacy Shield II: Er det stadig muligt i en GDPR-verden?

    Med de seneste GDPR-beslutninger, der grundlæggende sætter en stopper for den måde, som virksomheder behandler data, som vi kender det, er der nu et stort pres for bedre tilpasning mellem EU og USA om databeskyttelse. I lang tid følte virksomheder og andre institutioner sig sikre under Safe Harbor og Privacy Shield, men efterhånden som data blev mere og mere en handelsvare, og det blev mere lukrativt og usynligt at indsamle og sælge dem, begyndte folk at blive opmærksomme. Nu er vi nået til det punkt, hvor vi har brug for nye aftaler om databeskyttelse.

    Alle ønsker det, men hvordan er vi kommet hertil, og er vi tættere på?

    Hvad var Privacy Shield?

    Tilbage i oktober 2015 erklærede EF-Domstolen de internationale Safe Harbor-principper for ugyldige.

    Safe Harbor, der blev udviklet mellem 1998 og 2000, skulle forhindre private organisationer i at videregive eller miste personlige data om EU-borgere og amerikanske borgere. Efter mange klager, bl.a. over Facebook-data, besluttede EU, at USA og Safe Harbor ikke var i overensstemmelse med EU's databeskyttelsesdirektiv.

    Denne Safe Harbor-afgørelse er også kendt som Schrems I. I et forsøg på at begrænse de negative konsekvenser af at gøre Safe Harbor ugyldig skabte EU og USA i 2016 en ny dataramme, Privacy Shield, i 2016.

    Denne nye aftale skulle afhjælpe nogle af Safe Harbors mangler, men ifølge Den Europæiske Tilsynsførende for Databeskyttelse (EDPS) var der stadig nogle problemer i forbindelse med sletning af data, indsamling af store mængder data og den nye ombudsmandsmekanisme. Uanset disse punkter vedtog Europa-Kommissionen Privacy Shield i juli 2016.

    Privacy Shield og Schrems II

    De potentielle problemer, der blev opdaget i 2016, et teknisk landskab i drastisk forandring og politiske ændringer på begge kontinenter førte til Privacy Shields fald i 2020.

    Den østrigske privatlivsaktivist Max Schrems hævdede, at dataaftalen ikke gjorde nok for at beskytte privatlivets fred for EU-borgernes personlige data, når de blev overført til USA.

    Det vigtigste spørgsmål, der fik rammen til at falde, var den amerikanske masseovervågning.

    "Privacy Shield var ikke hovedproblemet; problemet er, at Privacy Shield måtte bøje sig for de amerikanske overvågningslove", sagde Schrems.

    Johnny Ryan, senior fellow ved Irish Council for Civil Liberties, tilføjede, at problemerne med Privacy Shield og Safe Harbor aldrig handlede om at undersøge data af sikkerhedshensyn, men mere om gennemsigtige processer og retsbeskyttelse for EU-borgere. "Det vigtigste er, at en dommer kan give en person, der befinder sig uden for USA, en juridisk beskyttelse, at de kan få deres rettigheder håndhævet, hvis deres rettigheder krænkes", sagde Ryan. Uden disse beskyttelsesforanstaltninger og uden nogen reel måde at løse disse problemer hurtigt på, blev Privacy Shield annulleret i juli 2020 i en afgørelse, der nu er kendt som Schrems II.

    Fremtiden for Privacy Shield

    Uden en juridisk ramme for behandling af data, når de flyder mellem Europa og USA, har lande i hele Europa erklæret mange typer dataoverførsler ulovlige: Østrig og Google Analytics, Belgien og IAB, Frankrig og Google Analytics osv. På dette tidspunkt er der højst sandsynligt flere at tilføje til denne liste.

    Sådanne sager gør nødvendigheden af en erstatning for Privacy Shield endnu vigtigere - for ledere på begge sider af Atlanten.

    For ikke at nævne det faktum, at mange EU-lande og -agenturer indsnævrer sig til de store teknologivirksomheders datapraksis, såsom Facebook, Microsoft, Amazon og Google.

    Siden præsident Joe Biden tiltrådte, har han arbejdet på en erstatning sammen med Europa-Kommissionens formand, Ursula von der Leyen, men indtil videre har der ikke været andet end optimistiske ord at vise på disse møder.

    På mødet i Rådet for Handel og Teknologi (TTC) i september 2021 tilbød USA en mekanisme for kvasijuridisk tilsyn med nationale sikkerhedsagenturer for at få en ny aftale underskrevet inden årets udgang, men aftalen blev ikke accepteret. Der er håb om, at de seneste forhandlinger vil føre til et bedre resultat på det næste TTC-møde i maj 2022.

    Mange håber, at begge parter vil være i stand til at nå frem til en aftale, der giver amerikanske efterretningstjenester mulighed for fortsat at få adgang til folks data, samtidig med at EU-borgernes rettigheder beskyttes.

    En løsning kan være oprettelsen af et uafhængigt retsorgan, som skal føre tilsyn med klager fra EU-borgere, der mener, at amerikanske agenturer har behandlet deres data ulovligt.

    Detaljerne i denne plan - f.eks. hvordan nogen overhovedet kan vide, at de skal indgive en klage, og om de overhovedet vil holde i retten - er endnu uvisse.

    Men én ting står klart: Uanset hvilken beslutning der træffes, vil den ikke blive truffet i Kongressen - en kendsgerning, der kan ødelægge enhver aftale, før den overhovedet er startet.

    Da det er svært at opnå politisk enighed og fremskridt i disse dage, skal enhver ændring, der foretages, være i overensstemmelse med de eksisterende amerikanske regler og bestemmelser.

    De fleste eksperter er enige om, at ethvert væsentligt fremskridt skal ske gennem lovgivningsmæssige ændringer i USA, der begrænser, hvordan nationale sikkerhedsagenturer kan få adgang til EU's data, og som giver EU-borgere en klar og gennemsigtig måde at anfægte denne adgang ved domstolene på.

    Uden disse ting, hvor lang tid går der så, før vi får en Schrems III?