Edward Snowden fjernet i 2013 de siste illusjonene om at data eksportert til USA kunne påregnes å forbli private. Til tross for avsløringene om blant annet PRISM-programmet fastholdt EU-kommisjonen sin beslutning fra 2000 (2000/520) om at USA, for amerikanske selskaper som hadde sluttet seg til Safe Harbour-ordningen, skulle anses å sikre «forsvarlig behandling» av personopplysninger. Slik forsvarlighet kreves av personopplysningsloven og EU-direktivet om personvern (95/46/EF).
Selv om Safe Harbour-ordningen har vært kritisert av Kommisjonen selv (COM 2013 (2013) 846 og 847 final) og andre, har ordningen likevel fungert som et formelt alibi. Man har holdt seg for nesen, og trøstet seg med at dataeksporten i det minste er formelt i orden.
Hva er uforsvarlig?
Dette alibiet – eller keiserens nye klær om du vil – ble revet bort 6. oktober i år da EUs høyeste domstol slo fast at Safe Harbour-ordningen ikke betød at USA sikret «forsvarlig behandling» av personopplysninger. Domstolen fremholdt at grunnleggende rettigheter for EU-borgere, herunder retten til privatliv, ikke ble ivaretatt. Særlig fremholdt domstolen at:
- Kravene i Safe Harbour-ordningen viker for amerikanske myndigheters krav om tilgang på data om europeiske borgere (premiss 86).
- Amerikanske regler og praksis går lenger enn hensynet til nasjonal sikkerhet og samfunnsinteresser tilsier, ved at data samles inn i stor skala og at det ikke tas hensyn til om dataene er sensitive og uten hensyn til formålet dataene var samlet inn for (premissene 87 og 90).
- USA har ikke regler som begrenser inngrep i grunnleggende rettigheter til datasubjektene (premiss 88) eller et rettslig vern av slike rettigheter (premiss 89). Federal Trade Commission kan kun gripe inn i kommersielle tvister.
- Datasubjektene har ingen rettslige midler til å stanse den vidtgående behandlingen, eller få slettet eller rettet dataene (premiss 90).
- Amerikanske myndigheter lagrer data på generell basis, uten differensiering, begrensning eller unntak og uten objektive kriterier for utvalg, bruk og formål (premiss 93).
Klageren, den østerrikske jusstudenten Maximillian Schrems, fikk dermed fullt gjennomslag for sin argumentasjon, som formelt sett var knyttet til hans bruk av Facebook.
Holder alternativene?
Følgende tiltak har vært fremholdt for å holde seg innenfor regelverket:
- Bruke EU-kommisjonens modellavtale
- Etablere bindende konsernregler for overføring av persondata (BCR)
- Be om samtykke fra dem dataene gjelder (datasubjektene)
- Flytte persondataene ut av USA
Vil dette holde?
EUs modellavtale er en standard avtaletekst som skal gjelde som avtale med databehandler utenfor EU, f.eks. for data lagret i Dropbox. Formelt er slike modellavtaler godkjent av EU-kommisjonen som gyldig grunnlag for å eksportere data ut av EU og EØS, uansett land.
Holder en slik avtale etter Safe Harbour-dommen? EU-domstolen sa ikke bare at Safe Harbour-ordningen ikke holdt mål, men at datatilsynene i Europa skal foreta egne, selvstendige vurderinger av om persondataene behandles forsvarlig. Allerede nå melder Det uavhengige senteret for personvern i den tyske delstaten Schleswig-Holstein at heller ikke modellavtalen holder. Ifølge senteret vil betryggende behandling av data i USA kreve «omfattende endringer» i amerikansk lov.
Når man leser EU-domstolens begrunnelse er det nærliggende å slutte at ingen avtalebasert ordning vil holde. Amerikanske myndigheter vil uansett få fatt i de dataene de ønsker, uten de begrensningene som er nødvendige for at de europeiske personvernkravene skal tilfredsstilles.
Legger vi samme, ikke urimelige, argumentasjon til grunn vil heller ikke bindende konsernregler (BCR) være tilfredsstillende. Slike regler tar i tillegg lang tid å etablere (gjerne ett til to år), blant annet fordi reglene skal spesialgodkjennes av tilsynsmyndighetene. Dessuten vil BCR ikke kunne brukes på selskaper som ikke har egne konsernselskaper i USA.
Samtykke fra datasubjektet kan også brukes som grunnlag for eksport av data til land som ikke sikrer forsvarlig behandling av personopplysningen (personopplysningsloven § 30). Samtykke har den fordelen at datasubjektet aksepterer dagens tilstand i USA. Velger du samtykke som grunnlag må du imidlertid passe på at lovens krav til samtykkets klarhet, informasjon og frivillighet er oppfylt når samtykkene innhentes (personopplysningsloven § 2 nr. 7).
Fikk du med deg denne? Blir skytjenester blokkert av arkivloven?
I Europa er jeg vel trygg, eller?
For å imøtekomme bekymringen hos europeiske kunder, har amerikanske databehandlere som Amazon og Microsoft allerede etablert seg utenfor USA, i Europa. Dermed skulle man kanskje tro problemet var løst. Den gang ei, i alle fall ikke om leverandøren er amerikansk.
Amerikanske justismyndigheter mener nemlig at ethvert amerikansk selskap er pliktig til å overlevere data selskapet sitter med, selv om dataene behandles i Europa. Om justismyndighetene vinner frem, vil avhenge av utfallet i en sak myndighetene har anlagt mot Microsoft. I saken krever myndighetene utlevert eposter lagret i Irland i Microsofts eposttjeneste Hotmail. Microsoft, støttet av flere andre, nekter å utlevere dataene. Microsoft har imidlertid allerede tapt i to runder. Dom er ventet i oktober eller november i år.
Kanskje som følge av at dataene aldri kan være trygge basert på formell sikring, oppfordrer amerikanske skyleverandører kundene å selv kryptere dataene sine.
Dersom Microsoft må utlevere epostene lagret i Irland, står vi for øyeblikket igjen med bare to relativt robuste juridiske alternativer. Samtykke og bruk av datasentre utenfor USA kontrollert av ikke-amerikanske selskaper. Dette innebærer en spennende mulighet for norske og europeiske datasentre og skyleverandører til å vinne markedsandeler. Spørsmålet blir hvor lenge fortrinnet vil vare.
Europeiske leverandørers mulighet?
Som følge av kritikken som har vært rettet mot Safe Harbour i flere år, har EU og USA allerede påbegynt forhandlinger om en ny Safe Harbour-ordning. Disse forhandlingene har trolig fått en kraftig vitamininnsprøytning gjennom Safe Harbour-dommen. Forhåpentligvis vil resultatet tilfredsstille grunnleggende europeiske verdier og den nye og strenge personvernforordningen som også er på trappene. Alle ville være tjent med at vi slipper mer sminke på grisen.