Skip to main content

Privacy Shield II: Är det fortfarande möjligt i en GDPR-värld?

Med de senaste GDPR-besluten som i grunden sätter stopp för hur företag bearbetar data som vi känner den, finns det nu ett stort tryck för bättre anpassning mellan EU och USA när det gäller datasekretess. Under lång tid kände företag och andra institutioner sig trygga under Safe Harbor och Privacy Shield. Men eftersom data blev mer av en vara och bruket att samla in och sälja det blev mer lukrativt och osynligt, började folk lägga märke till det. Nu är vi vid den punkt där vi behöver nya datasekretessavtal.

Alla vill ha det här, men hur kom vi hit och är vi närmare?

Vad var Privacy Shield?

Tillbaka i oktober 2015 ogiltigförklarade EU-domstolen International Safe Harbor Privacy Principles.

Safe Harbor, som utvecklades mellan 1998 och 2000, var tänkt att förhindra privata organisationer från att avslöja eller förlora personuppgifter om EU- och USA-medborgare. Efter många klagomål, bland annat om Facebook-data, beslutade EU att USA och Safe Harbor inte följde EU:s dataskyddsdirektiv.

Detta Safe Harbor-beslut är också känt som Schrems I. I ett försök att begränsa de negativa effekterna av att ogiltigförklara Safe Harbor skapade EU och USA ett nytt dataramverk, Privacy Shield, 2016.

Det här nya avtalet var tänkt att åtgärda några av felen i Safe Harbor, men enligt Europeiska datatillsynsmannen (EDPS) fanns det fortfarande vissa frågor relaterade till radering av data, insamling av enorma mängder data och den nya Ombudsmannamekanism. Oavsett dessa punkter antog Europeiska kommissionen Privacy Shield i juli 2016.

Privacy Shield och Schrems II

De potentiella problem som upptäcktes 2016, ett drastiskt föränderligt tekniskt landskap och politiska förändringar på båda kontinenterna, ledde till att Privacy Shield föll 2020.

Den österrikiske integritetsaktivisten, Max Schrems, hävdade att dataavtalet inte gjorde tillräckligt för att skydda integriteten för EU-medborgares personuppgifter när de överfördes till USA.

Huvudfrågan som fällde ramverket var USA:s massövervakning.

Privacy Shieldvar inte huvudfrågan; problemet är att Privacy Shield var tvungen att ge efter för amerikanska övervakningslagar, säger Schrems.

Johnny Ryan, senior fellow vid Irish Council for Civil Liberties, tillade att frågorna med Privacy Shield och Safe Harbor aldrig handlade om att granska data av säkerhetsskäl, utan mer om transparenta processer och rättsligt skydd för EU-medborgare. "Huvudsaken är att en domare kan ge någon som befinner sig utanför USA ett rättsligt skydd, att de kan få sina rättigheter upprätthållna om deras rättigheter kränks", sa Ryan. Utan dessa skydd på plats, och utan något riktigt sätt att ta itu med dessa problem snabbt, ogiltigförklarades Privacy Shield i juli 2020, i ett beslut som nu är känt som Schrems II.

The Future of Privacy Shield

Utan en rättslig ram för att behandla data när den strömmar mellan Europa och USA, har länder över hela Europa förklarat många typer av dataöverföringar olagliga: Österrike och Google Analytics, Belgien och IAB, Frankrike och Google Analytics, etc. Vid det här laget är troligtvis fler att lägga till i den listan.

Sådana fall gör nödvändigheten av att ersätta Privacy Shield ännu viktigare - för ledare på båda sidor av Atlanten.

För att inte nämna det faktum att många EU-länder och EU-byråer håller på att begränsa sig till datapraxis för stora teknikföretag, som Facebook, Microsoft, Amazon och Google.

Sedan president Joe Biden tillträdde har han arbetat på en ersättare, tillsammans med EU-kommissionens ordförande Ursula von der Leyen, men hittills har det inte funnits något att visa på dessa möten förutom ord av optimism.

Vid mötet för Trade and Tech Council (TTC) i september 2021 erbjöd USA en kvasi-rättslig tillsynsmekanismöver nationella säkerhetsbyråer för att få ett nytt avtal undertecknat före årets slut, men affären accepterades inte. Det finns hopp om att de senaste förhandlingarna kommer att leda till ett bättre resultat vid nästa TTC-möte i maj 2022.

Många är hoppfulla att båda parter kommer att kunna komma överens som gör att amerikanska underrättelsetjänster kan fortsätta att få tillgång till människors data, samtidigt som EU-medborgarnas rättigheter skyddas.

En lösning kan vara skapandet av ett oberoende rättsligt organ som kommer att övervaka klagomål från EU-medborgare som anser att amerikanska myndigheter olagligt har hanterat deras uppgifter.

Detaljerna i den planen - som hur skulle någon ens veta för att göra ett klagomål i första hand, och om de ens skulle hålla upp i domstol - är ännu att se.

Men en sak är klar, vilket beslut som än tas kommer det inte att fattas i kongressen – ett faktum som kan döda vilken affär som helst innan den ens har börjat.

Eftersom politisk överenskommelse och framsteg är svåra att uppnå nuförtiden, måste varje förändring som görs vara förenlig med befintliga amerikanska regler och förordningar.

De flesta experter är överens om att alla betydande framsteg skulle behöva göras genom lagändringar i USA som begränsar hur nationella säkerhetsorgan kan få tillgång till EU-data och ger EU-medborgare ett tydligt och öppet sätt att rättsligt utmana denna tillgång i domstol.

Utan dessa saker, hur lång tid tar det innan vi har en Schrems III?