Skip links

Safe Harbour 2.0: Privacy Shield

NYHED: I 2015 blev Safe Harbour aftalen om transnational overførsel af data mellem EU og USA erklæret ugyldig af Den Europæiske Domstol. I 2016 har EU og USA genforhandlet og fremlagt en Safe Harbor 2.0 aftale, som man i første omgang har navngivet “Privacy Shield”.

Særaftalen Safe Harbour

Safe Harbour var en særaftale for amerikanske virksomheder, som overfører europæiske borgeres data til servere placeret i USA, hvilket i en årrække har givet særlige konkurrencemæssige fordele for amerikanske datadrevne virksomheder. Mens den europæiske databeskyttelseslovgivning altid er blevet håndhævet direkte over for europæiske virksomheder, har amerikanske virksomheder selv blot skulle certificere, at de har den rette databeskyttelsesstandard. Sagen ved EU domstolen, som endte med en ugyldiggørelse af aftelen, blev lagt an af den østrigske Phd jurastuderende og privacy aktivist Max Schrems. Schrems står blandt andet bag initiativet Europe vs Facebook, som han startede efter at have anmodet Facebook om den data, virksomheden havde på ham og modtog 1,200 sider med data. Herefter har han kørt flere sager mod Facebook ved forskellige juridiske instanser.

Eu domstolens afgørelse om ugyldiggørelse af Safe Harbour byggede på Edward Snowdens’ afsløringer af den amerikanske efterretningstjenestes overvågning af europæiske borgere, hvis data blev bearbejdet af amerikanske virksomheder på amerikansk grund og dermed beviste, at behandlingen af data på europæiske borgere ikke levede op til europæiske menneskeretslige standarder og databeskyttelseslovgivning. 4,410 amerikanske virksomheder havde indtil domstolens afgørelse en Safe Harbor certificering, herunder virksomheder med nogle af de mest populære tech forbrugertjenester og produkter i Europa som f.eks. Microsoft, Apple, Google, Facebook, Twitter, Yahoo, Adobe, Amazon, eBay, HP, IBM, Intel og Oracle.

Privacy Shield: En pyntet gris?

Screen Shot 2016-03-02 at 14.59.56

Den nye aftale, som blev forhandlet meget hurtigt igennem og fremlagt i februar måned for de europæiske databeskyttelsemyndigheder, blev med det samme kritiseret af Max Schrems for blot at pynte på den gamle aftale og ikke adressere basis kritikpunkter i domstolens afgørelse. Blandt andet peger han på, at der er for lidt fokus på private virksomheders datamisbrug i teksten, samt at den ikke kan sikre europæiske databeskyttelsesstandarder, da der er fundamentale problemer med amerikansk overvågningslovgivning og generelle databeskyttelsetilgang. Blandet andet er der en række undtagelser, hvor amerikanske efterretningstjenester kan indsamle ”bulk” data på europæiske borgere, hvilket står i direkte modsætning til europæisk lovgivning vedr. masseovervågning.

Der er dog også i Privacy Shield teksten, som den står nu, nogle punkter, hvor europæiske borgeres rettigheder bliver styrket og kravene til amerikanske virksomheder skærpes. Dette inkluderer for eksempel:

  • Europæiske borgere vil kunne gå direkte med klager til en amerikansk virksomhed, der overfører deres data, og denne skal svare dem inden for 45 dage. Hvis de ikke svarer, kan borgeren gå til egen datamyndighed, der sender klagen videre til den amerikanske Federal Trade Commission.
  • Den nye ordning indeholder tilsynsmekanismer, der skal sikre, at virksomhederne overholder deres forpligtelser, herunder sanktioner eller udelukkelse, hvis de ikke overholder aftalen.

  • De nye regler omfatter også strammede betingelser for virksomhederne for videregivelse af data til andre partnere.

  • For første gang har den amerikanske regering givet EU skriftlig forsikring om, at amerikanske offentlige myndigheders adgang til data med nationale sikkerhedsformål på europæiske borgere vil være underlagt klare begrænsninger, sikkerhedsforanstaltninger og tilsynsmekanismer (dog skal der her tages højde for Max Schrems kritik).

Se også EU Kommissionens FaQ om Privacy Shield her

Se mere i TechCrunch artiklen: Draft Text Of EU-U.S. Privacy Shield Deal Fails To Impress The Man Who Slayed Safe Harbor