Skip to main content

Schrems I

TL;DR

Schrems I var en sak som nådde EU-domstolen. Oppkalt etter Max Schrems, var den basert på påstanden om at amerikanske selskaper, i sammenheng med NSA PRISM-programmet, avslørt for offentligheten av Edward Snowden, ikke ville være i stand til å garantere tilstrekkelig beskyttelse av personopplysninger. Derfor ble det avgjort at det i henhold til det europeiske databeskyttelsesdirektivetikke var lovlig å foreta overføring av personopplysninger mellom EU og USA. Dette førte til ugyldiggjøring av Safe Harbor-avtalen og fikk alvorlige konsekvenser for virksomheten til flere selskaper.

Hva mener jeg med Schrems?

Schrems I er det generiske navnet på en data-personvernrelatert rettssak ved EF-domstolen. Den er oppkalt etter Max Schrems, en østerriksk aktivist som sendte inn en klage mot Facebook, og hevdet at selskapet ikke kunne sikre tilstrekkelige tiltak for beskyttelse av hans personlige data, da de ble overført fra EU til USA.

Saken startet i 2013, i Irland, Facebook-hovedkvarteret i Europa, med en klage til den irske databeskyttelseskommissæren. Det ble eskalert og nådde EU-domstolen i 2015, ettersom Max Schrems ikke var fornøyd med svaret han mottok og fortsatte med å klage mot selve databeskyttelseskommissæren. EU-domstolen dømte Schrems til fordeli oktober 2015.

Hva var konsekvensene av Schrems I?

Dette betydde at en hel transnasjonal avtale mellom EU og USA, kalt Safe Harbor, ble automatisk ugyldig. I praksis var det ikke lenger mulig å overføre data fra europeiske borgere til USA, da det ble slått fast at sistnevnte ikke kunne sikre tilstrekkelige standarder for personvern. Dette var i sammenheng med NSA PRISM-skandalensom viste at private data ble åpnet av det amerikanske byrået uten samtykke.

Derfor ble ikke alle selskaper som driver forretninger som involverte EU-borgerdata lenger beskyttet av Safe Harbor, og i en periode var det ulovlig for dem å behandle personopplysninger. Dette vil ha stor innvirkning på flere selskaper. Ethvert selskap måtte nå vurdere om enkle prosesser som brukere som går inn på nettsidene deres kan føre til at deres personlige data (IP, plassering, andre data lagret i informasjonskapsler) blir ulovlig overført til USA. Dette var tilfellet hvis nevnte nettsteder brukte amerikanske tredjepartsapper som for eksempel Google Analytics.

Selv om EU og USA jobbet med en påfølgende avtale, kalt Privacy Shield, ble også denne ugyldig i 2020, etter at en annen klage fra samme mann førte til Schrems II-saken.