Skip to main content

Privacy Shield II: Er det fortsatt mulig i en GDPR-verden?

Med nyere GDPR-beslutninger som fundamentalt setter en stopper for hvordan bedrifter behandler data slik vi kjenner dem, er det nå et stort press for bedre tilpasning mellom EU og USA når det gjelder personvern. I lang tid følte bedrifter og andre institusjoner seg trygge under Safe Harbor og Privacy Shield. Men etter hvert som data ble mer en vare og praksisen med å samle inn og selge den ble mer lukrativ og usynlig, begynte folk å legge merke til det. Nå er vi på det punktet hvor vi trenger nye datavernavtaler.

Alle vil ha dette, men hvordan kom vi hit og er vi nærmere?

Hva var Privacy Shield?

Tilbake i oktober 2015 ugyldiggjorde EU-domstolen International Safe Harbor Privacy Principles.

Safe Harbor, utviklet mellom 1998 og 2000, var ment å hindre private organisasjoner i å avsløre eller miste personopplysningene til EU- og amerikanske borgere. Etter mange klager, inkludert Facebook-data, bestemte EU at USA og Safe Harbor ikke fulgte EUs databeskyttelsesdirektiv.

Denne Safe Harbor-avgjørelsen er også kjent som Schrems I. I et forsøk på å begrense de negative konsekvensene av å ugyldiggjøre Safe Harbor, opprettet EU og USA et nytt datarammeverk, Privacy Shield, i 2016.

Denne nye avtalen var ment å avhjelpe noen av feilene til Safe Harbor, men ifølge European Data Protection Supervisor (EDPS) var det fortsatt noen problemer knyttet til sletting av data, innsamling av enorme mengder data og den nye Ombudsmannsmekanisme. Uavhengig av disse punktene vedtok EU-kommisjonen Privacy Shield i juli 2016.

Privacy Shield og Schrems II

De potensielle problemene som ble oppdaget i 2016, et drastisk skiftende teknologilandskap og politiske endringer på begge kontinenter, førte til Privacy Shields fall i 2020.

Den østerrikske personvernaktivisten, Max Schrems, hevdet at dataavtalen ikke gjorde nok for å beskytte personvernet til personopplysningene til EU-borgere da de ble overført til USA.

Hovedspørsmålet som brakte rammeverket var amerikansk masseovervåking.

Privacy Shieldvar ikke hovedproblemet; problemet er at Privacy Shield måtte gi etter for amerikanske overvåkingslover, sa Schrems.

Johnny Ryan, seniorstipendiat ved Irish Council for Civil Liberties, la til at problemene med Privacy Shield og Safe Harbor aldri handlet om å undersøke data av sikkerhetsgrunner, men mer om transparente prosesser og juridisk beskyttelse for EU-borgere. "Hovedkjernen er at en dommer kan gi noen som er utenfor USA en juridisk beskyttelse, at de kan få rettighetene rettferdiggjort hvis rettighetene deres blir krenket," sa Ryan. Uten denne beskyttelsen på plass, og uten noen reell måte å løse disse bekymringene raskt, ble Privacy Shield ugyldig i juli 2020, i en avgjørelse som nå er kjent som Schrems II.

The Future of Privacy Shield

Uten et juridisk rammeverk for behandling av data mens de flyter mellom Europa og USA, har land over hele Europa erklært mange typer dataoverføringer ulovlige: Østerrike og Google Analytics, Belgia og IAB, Frankrike og Google Analytics, osv. På dette tidspunktet er det er mest sannsynlig flere å legge til den listen.

Slike saker gjør nødvendigheten av en erstatning for Privacy Shield enda viktigere – for ledere på begge sider av Atlanterhavet.

For ikke å nevne det faktum at mange EU-land og -byråer begrenser seg til datapraksisen til store teknologiselskaper, som Facebook, Microsoft, Amazon og Google.

Siden president Joe Biden tiltrådte i vervet, har han jobbet med en avløser, sammen med Europakommisjonens president Ursula von der Leyen, men så langt har det ikke vært noe å vise til for disse møtene bortsett fra optimisme.

På møtet i Trade and Tech Council (TTC) i september 2021 tilbød USA en kvasi-rettslig tilsynsmekanismeover nasjonale sikkerhetsbyråer for å få en ny avtale signert før slutten av året, men avtalen ble ikke akseptert. Det er håp om at nylige forhandlinger vil føre til et bedre resultat på neste TTC-møte i mai 2022.

Mange håper på at begge parter vil kunne komme til en avtale som lar amerikanske etterretningsbyråer fortsette å få tilgang til folks data, samtidig som de beskytter rettighetene til EU-borgere.

En løsning kan være opprettelsen av et uavhengig rettsorgan som vil føre tilsyn med klager fra EU-borgere som føler at amerikanske byråer ulovlig har håndtert dataene deres.

Detaljene i den planen - som hvordan ville noen i det hele tatt vite for å komme med en klage i utgangspunktet, og om de til og med ville holde stand i retten - er ennå ikke sett.

Men én ting er klart, uansett hvilken avgjørelse som tas, vil den ikke bli tatt i kongressen – et faktum som kan drepe enhver avtale før den i det hele tatt starter.

Siden politisk enighet og fremgang er vanskelig å oppnå i disse dager, må enhver endring som gjøres være i samsvar med eksisterende amerikanske regler og forskrifter.

De fleste eksperter er enige om at ethvert betydelig fremskritt må gjøres gjennom lovendringer i USA som begrenser hvordan nasjonale sikkerhetsbyråer kan få tilgang til EU-data og gir EU-borgere en klar og gjennomsiktig måte å juridisk utfordre denne tilgangen i domstolene.

Uten disse tingene, hvor lang tid tar det før vi har en Schrems III?