Privacy Shield: Inget nytt dataöverföringsavtal (än)
Privacy Shield är hypotetiskt EU-kommissionens och USA:s nya avtal för dataöverföringar mellan EU och USA. Avtalet har kommit till stånd för att EU-domstolen upphävde det tidigare så kallade Safe Harbor-avtalet i oktober 2015. Det tidigare avtalet har inte skyddat europeiska medborgare från godtycklig övervakning från myndigheter, och innehöll inga mekanismer för att överklaga godtycklig övervakning.
Safe Harbor-avtalet förhindrade nationella dataskyddsmyndigheter från att granska dataöverföringar, eftersom avtalet var skrivet på ett sådant sätt att myndigheternas tvingades acceptera att dataöverföringarna var okej.
Efter EU-domstolens hävning av Safe Harbor-avtalet fick EU-kommissionen en tidsfrist på tre månader av EU:s Artikel 29-grupp, en samarbetsorganisation för europeiska dataskyddsmyndigheter. Med början i februari 2016 menade Artikel 29-gruppens medlemmar att de behövde börja upprätthålla dataskyddslagstiftningen gentemot amerikanska företag.
EU-kommissionen annonserade 2 februari 2016 att de nått en överenskommelse med sina amerikanska motsvarigheter. Trots att det inte finns någon avtalstext har Artikel 29-gruppen sagt att de kommer vänta ytterligare en månad med att upprätthålla dataskyddslagstiftningen. Franska dataskyddsmyndigheter (CNIL) har trots detta utfärdat ett föreläggande mot företaget Facebook. Amerikanska myndigheter förnekar att det finns ett avtal, vilket inte bådar gott för EU-kommissionen.
Den österrikiske juriststudenten Max Schrems har menat att förhandlingarna har få utsikter att nå ett tillfredsställande resultat, eftersom EU-domstolen specifikt klagat på hur USA hanterar nationell säkerhet. Den amerikanska förhandlingsparten FCC, som hanterar marknads- och konsumentfrågor i USA, har inga möjligheter att begränsa den amerikanska säkerhetspolitiken. Bryssel-baserade European Digital Rights har skrivit att EU-kommissionen, genom att annonsera ett avtal som ännu inte är avslutat, har försatt sig själva i sämsta möjliga förhandlingsposition inför avtalets fullbordande.
I Sverige har nyheten om avtalets (icke-)fullbordande mötts med försiktig optimism. Om ett nytt avtal kommer till stånd, kan den juridiska säkerheten öka. Hamburgs datainspektion i Tyskland har dock inga höga förhoppningar på detta, och säger att tyska datainspektioner istället kommer att hjälpa företag att upprätta alternativa överföringsmekanismer. Samtidigt har många företag istället börjat fundera på hur de kan låta bli att överföra data till USA. För de amerikansk-baserade företagen återstår ändå rimligen problemet att amerikanska myndigheter kräver jurisdiktion över personuppgifter oavsett på vilken geografisk plats de är lagrade. Enbart att ha servrar i Europa är alltså inte tillräckligt för att ge personuppgifter det rättsliga skydd som EU-domstolen menar att varje privatperson har rätt till.
Läs mer:
Dataskydd.net, Safe Harbor och Privacy shield:
https://dataskydd.net/privacy-shield-avtalet
https://dataskydd.net/safe-harbour-avtalet
Curia (EU-domstolen) C-364/14. Maximillian Schrems v Data Protection Commissioner (06.10.2015):
http://curia.europa.eu/juris/liste.jsf?num=C-362/14
Washington Post, Here’s why the activist who started the Safe Harbor fight thinks that negotiations won’t work (31.01.2016):
https://www.washingtonpost.com/news/monkey-cage/wp/2016/01/31/heres-why-...
EDRi, What’s behind the shield? Unspinning the “privacy shield” spin (03.02.2016):
https://edri.org/privacyshield-unspinning-the-spin/
Artikel 29-gruppen, pressrelase. Statement on the consequences of the Schrems judgement (03.02.2016):
http://ec.europa.eu/justice/data-protection/article-29/press-material/pr...
EPIC, Department of Commerce: Privacy Shield "does not exist" (10.02.2016):
https://epic.org/2016/02/department-of-commerce-privacy.html
Data Protection Report, Hamburg DPA leader addresses EU-US Privacy Shield (12.02.2016):