EU og USA offentliggjorde i går omsider detaljene i den nye avtalen for kommersiell overføring av personopplysninger fra Europa til USA, EU-US Privacy Shield.
Avtalen ble kunngjort for snart en måned siden, men kun i form av en pressemelding. Inntil nå har den juridiske teksten ikke vært tilgjengelig.
Bakgrunnen for avtalen er at forgjengeren, Safe Harbour, ble erklært ugyldig av EU-domstolen i fjor høst. Mange selskaper overfører personopplysninger mellom EU/EØS-landene og USA. For mange av dem har bortfallet av Safe Harbour betydd at de ikke har hatt noe juridisk grunnlag for å gjøre dette.
Derfor har det hastet å få på plass en ny avtale som også tar hensyn til de problemene som gjorde at Safe Harbor ble forkastet, spesielt i tilknytning til masseovervåkning. Om Privacy Shield faktisk er tilstrekkelig forskjellig fra Safe Harbour, gjenstår å se.
Godt fornøyd
– Det å beskytte persondata er prioriteten min, både internt i EU og internasjonalt, sier Vĕra Jourová, EU-kommissær med ansvar for justis-, forbruker- og likestillingsspørsmål, i en pressemelding.
– EU-US Privacy Shield er et sterkt, nytt rammeverk, basert på robust håndhevelse og kontroll, enklere rettshjelp for enkeltpersoner og, for første gang, skriftlig forsikring fra våre amerikanske partnere angående begrensningene og sikringstiltakene knyttet til offentlige myndigheter tilgang til data på bakgrunn av nasjonale sikkerhetsårsaker, sier Jourová.
Ifølge Jourová har USAs president, Barack Obama, signert en lov som gir EU-borgere rett til å håndheve datavernrettigheter ved amerikanske domstoler. Snart skal partene også undertegne en paraplyavtale som skal sørge for sikringstiltak ved dataoverføring knyttet til rettshåndhevelse.
– Disse solide sikringstiltakene vil gjøre det mulig for Europa og Amerika å gjenopprette tilliten til transatlantisk dataflyt, mener Jourová.
Hovedpunktene
Informasjonen som nå er tilgjengelig om Privacy Shield, er svært omfattende. Datatilsynet har komprimert det hele ned til noen få hovedpunkter.
Blant annet skjerpes kravene til at selskaper som ønsker å delta i den nye ordningen, må demonstrere hvordan selskapet har tenkt å etterleve prinsippene i avtalen. Amerikanske myndigheters innsynsmuligheter strammes inn, men forsvinner ikke.
Det opprettes en ombudsmannsordning tilknyttet det amerikanske utenriksdepartementet som skal granske hvordan klager blir behandlet. Dessuten opprettes det en uavhengig voldgiftsordning hvor man kan klage på eventuelle brudd på bestemmelsene.
Selskaper som baserer sin utveksling av persondata på Privacy Shield må svare innen 45 dager på klager. Misligheter kan bli straffet med sanksjoner eller utestengelse fra ordningen.
Forbrukere skal også kunne klage til sitt lokale eller nasjonale datatilsyn og få svar fra amerikanske myndigheter innen 90 dager.
Årlige revisjoner er også sentralt.
Max Schrems
Det store spørsmålet er om EU-US Privacy Shield er tilstrekkelig forbedret, slik at man unngår at også denne avtalen erklæres ugyldig av EU-domstolen i Luxembourg. Personen i størst grad bidro til at EU-domstolen i det hele tatt tok Safe Harbour-avtalen opp til vurdering, den østerrikske jus-studenten Max Schrems, er ikke spesielt optimistisk.
– Ved første blikk ser det dessverre ut til at kommisjonens avgjørelse vil går rett tilbake til domstolen i Luxembourg. Det er synd at EU-kommisjonen ikke har brukt denne situasjonen til å komme opp med en stabil løsning for brukere og næringsliv. Jeg antar at de fleste bedrifter ikke vil ta i bruk Privacy Shield-avtalen som deres primære, juridiske grunnlag gitt dens klare begrensninger. Det vil flere personer som vil utfordre denne avgjørelsen dersom den ender opp på denne måten, og jeg vil kanskje være blant disse, sier Schrems i en pressemelding.
Selv om Schrems innrømmer at den nye avtalen har et stort antall mindre forbedringer, så ser ingen av dem ut til å møte de viktigste problemene og feilene ved amerikanske lover om overvåkning og personvern.
Leppestift
– De har forsøkt å putte ti lag med leppestift på en gris, men jeg tviler på et EU-domstolen og datatilsynene nå plutselig vil kose med den, sier Schrems. Han mener at Privacy Shield er svært langt unna de kravene domstolen har satt for en adekvat avgjørelsen.
– Selv om de forsøker å dekke til dette med en stor PR-øvelse, ser dessverre ikke dette ut som en stabil løsning.
#PrivacyShield: They put ten layers of lipstick on a pig but I doubt the Court&DPAs suddenly want to cuddle with it pic.twitter.com/gfkMexCruh
— Max Schrems (@maxschrems) 29. februar 2016
Schrems peker også på noe av det avtaleteksten sier om amerikansk masseovervåkning. Blant annet står det at masseinnsamlet signaletterretning bare kan brukes av USA i forbindelse med seks spesifikk hensikter – til oppdagelse og bekjempelse av visse aktiviteter gjort av fremmed makt, til anti-terrorvirksomhet, til å motvirke spredning av ABC-våpen, til kybersikkerhet, til oppdagelse og bekjempelse av trusler mot USA amerikanske eller allierte styrker, samt til bekjempelse av mellomnasjonale, kriminelle trusler, inkludert sanksjonsunndragelser.
Schrems skriver i pressemeldingen at dette er direkte motstridende med det EU-kommisjonen skriver i pressemeldingen, nemlig at USAs myndigheter har forpliktet seg til å håndheve Privacy Shield strengt og forsikre at nasjonale sikkerhetsmyndigheter ikke vil gjøres noen vilkårlig eller massiv overvåkning.
Fortsatt masseovervåkning?
Han viser dessuten til at EU-domstolen gjorde det tydelig i kjennelsen av intet forhold kan forsvare masseinnsamling av personopplysninger.
– I utgangspunktet bekrefter USA åpent at det krenker fundamentale EU-rettigheter i minst seks tilfeller. Kommisjonen hevder at det ikke lenger skjer noen masseovervåkning. Det pleide å være helt motsatt. Denne narrespillet er ikke bare i direkte konflikt med loven og EU-domstolens kjennelse, men også med dokumentene kommisjonen har presentert. Det gjør at man må spørre hva som i bakgrunnen legger press på kommisjonen. Dette er åpenbart ikke drivet av en rasjonell implementering av fakta, loven og dommen, sier Schrems, som i pressemeldingen også peker på andre svakheter ved utkastet til Privacy Shield.
Det er nemlig ikke slik at Privacy Shield nå er gyldig.
Først skal en komité med representanter fra EUs medlemsstater konsulteres. Dessuten skal de nasjonale datatilsynene i EU-landene komme med sin mening, før EU-kollegiet tar en endelig avgjørelse. I mellomtiden skal USA sørge for de nødvendige forberedelsene som er nødvendige for å etablere rammeverket, kontrollmekanismene og ombudsmannsordningen.