Logg inn Abonner
skrevet av Lars Evensen Volden i kategorien Teknologi

Sagaen om dataoverføring mellom EU og USA

Personvernrettigheter og internasjonal dataoverføring har blitt sentrale temaer i diskusjonen om digitale rettigheter. I denne artikkelen har jeg prøvd å oppsummere historien om dataoverføringsavtalene mellom EU og USA.

Sagaen om dataoverføring mellom EU og USA
Data gjennom luften. Selv om dataene som overføres fra EU til USA er usynlige, flyr det kontinuerlig online identifiers og personopplysninger over Atlanteren. Det på tross av utfordringer med dataoverføringsavtalene. ®Greypaper

TL;DR-oppsummering

  • Safe Harbor-avtalen (2000-2015): Var en avtale mellom EU og USA for å beskytte dataoverføringer, annullert etter avsløringer om amerikansk overvåking.
  • Max Schrems' innflytelse (2015): Schrems utfordret Safe Harbor og vant en dom som erklærte avtalen ugyldig, noe som ledet til Privacy Shield.
  • Privacy Shield (2016-2020): Et rammeverk for dataoverføring, men også kjent ugyldig av EU-domstolen etter Schrems II-saken på grunn av utilstrekkelig beskyttelse mot amerikanske myndigheter.
  • Schrems II-avgjørelsen (2020): Standardkontraktsklausuler kan fortsatt brukes for overføring, men selskaper må gjøre en grundig vurdering av mottakerlandets sikkerhetspraksis.

⚠️ Minner om at denne artikkelen ikke er juridisk rådgivning, men kun er ment for å oppsummere de ulike dataoverføringsavtalene mellom EU og USA.

For EU/EØS-borgere er personvern en grunnleggende menneskerettighet som er beskyttet av EU-lovgivningen. EU har et sterkt regelverk, kalt Personvernforordningen (GDPR), som regulerer innsamling, behandling og overføring av personopplysninger.

I USA er tilnærmingen til personvern noe annerledes. Det finnes ikke en generell lov som tilsvarer GDPR, men det finnes flere forskjellige lover og forskrifter som beskytter visse typer personopplysninger. Denne forskjellen i tilnærmingen til personvern har lenge skapt utfordringer hva gjelder overføring av personopplysninger mellom EU og USA.

Safe Harbour-avtalen (år 2000)

Safe Harbor-avtalen, igangsatt i 2000, styrte overføringen av persondata fra EU/EØS til USA. Den var fundamentert på EUs personverndirektiv og tillot selskaper å sende data til USA under forutsetningen av at de amerikanske partene etterlevde bestemte prinsipper.

Avtalens mål var å sikre en trygg datautveksling mellom EU og USA. Før Safe Harbor kom, manglet det en uniform standard for slik overføring, noe som skapte usikkerhet og personvernrisiko. For å løse dette ble Safe Harbor-avtalen skapt, som innførte en ordning hvor amerikanske firmaer kunne forplikte seg til personvernprinsipper.

  1. Dataoverføring og beskyttelse
    Safe Harbour-avtalen ble etablert for å muliggjøre lovlig overføring av persondata mellom EU og USA, basert på at amerikanske selskaper forpliktet seg til å ivareta et tilstrekkelig nivå av personvern.
  2. Selvsertifisering
    Amerikanske selskaper kunne sertifisere seg selv under Safe Harbour ved å følge spesifikke retningslinjer og overholde databeskyttelsesstandarder som ble ansett som tilstrekkelige av EU.
  3. Begrenset kontroll og tilsyn
    Ordningen bygget på tillit og selvrapportering uten sterkere regulering eller uavhengig kontroll, noe som senere førte til bekymringer om manglende tilsyn og etterlevelse.

Max Schrems kommer på banen (år 2015)

I 2015 kom Max Schrems, en østerriksk personvernaktivist, frem i lyset med sin sentrale rolle i å utfordre gyldigheten av Safe Harbor-avtalen. Schrems anla sak, argumenterte for at hans personvern ikke var adekvat ivaretatt da Facebook overførte hans data fra Irland til USA under Safe Harbor-regimet. Saken hans nådde EU-domstolen, som det året erklærte Safe Harbor-avtalen for ugyldig.

Schrems' handlinger avdekket alvorlige mangler i Safe Harbor-avtalen, spesielt knyttet til europeiske borgers beskyttelse mot amerikansk overvåking og inngripen i persondata. Denne domstolsavgjørelsen banet vei for etableringen av en ny ordning, Privacy Shield, og initierte en kritisk juridisk diskusjon. Max Schrems hadde dermed en betydelig innflytelse på endringer i personvernet for europeere ved internasjonale dataoverføringer.

Privacy Shield (år 2016)

Formålet med Privacy Shield var å sikre at personopplysninger som europeiske borgere delte med amerikanske selskaper, ble behandlet med tilstrekkelig beskyttelse og i samsvar med europeiske personvernstandarder.

  1. Styrket tilsyn og håndheving
    Privacy Shield innførte strengere tilsyn fra amerikanske myndigheter for å sikre at selskaper overholdt reglene.
    Forbedring fra Safe Harbour: Safe Harbour baserte seg i stor grad på selskapenes egenrapportering uten eksternt tilsyn. Privacy Shield la til periodiske evalueringer og revisjoner.
  2. Krav til datasikkerhet og ansvarlighet
    Amerikanske selskaper måtte oppfylle strengere krav om datasikkerhet, inkludert tiltak for dataintegritet og spesifikke krav til å informere brukere om deres rettigheter.
    Forbedring fra Safe Harbour: Privacy Shield hadde mer konkrete og detaljerte krav til databehandling, mens Safe Harbour var mer generell og etterlot selskapene frihet i hvordan de fulgte retningslinjene.
  3. Innføring av en ombudsperson for EU-borgere: Privacy Shield etablerte en uavhengig ombudsperson i USA som EU-borgere kunne kontakte for å få svar på bekymringer om amerikanske myndigheters tilgang til deres data.
    Forbedring fra Safe Harbour: Safe Harbour manglet et slikt kontrollledd, noe som ga USA mindre ansvar for personvernklager fra EU-borgere.
  4. Forsterket klagerett og rettighetsvern for enkeltpersoner: Privacy Shield ga EU-borgere en tydeligere og mer effektiv klagemekanisme, med rettigheter til å utfordre datahåndteringen gjennom selskaper eller EU-organer.
    Forbedring fra Safe Harbour: Safe Harbour hadde færre tilgjengelige klageveier for enkeltpersoner og tilbød ikke samme mulighet for å håndtere individuelle klager.
  5. Årlig revisjon mellom EU og USA
    Privacy Shield krevde en årlig revisjon av ordningen, der EU og USA sammen skulle evaluere hvordan avtalen ble implementert og foreslå forbedringer.
    Forbedring fra Safe Harbour: Safe Harbour manglet en slik regelmessig revisjon, noe som gjorde at avtalens etterlevelse og effektivitet sjelden ble vurdert i fellesskap.
  6. Økt transparens om myndighetstilgang
    Privacy Shield krevde at amerikanske myndigheter skulle gi innsyn i om og hvordan de fikk tilgang til data, samt begrense slik tilgang til det nødvendige og proporsjonale.
    Forbedring fra Safe Harbour: Safe Harbour inneholdt ikke spesifikke krav om transparens rundt myndighetsinnsyn, noe som førte til bekymringer om ubegrenset tilgang.

Schrems II gjør Privacy Shield ulovlig (2020)

Privacy Shield-avtalen ble erklært ugyldig av Den europeiske unions domstol (EU-domstolen) i 2020. Denne avgjørelsen kom som et resultat av Schrems II-saken, anlagt av Max Schrems.

I Schrems II-saken argumenterte Max Schrems for at personvernet til europeiske borgere fortsatt ikke ble tilstrekkelig beskyttet når personopplysninger ble overført til USA under Privacy Shield-ordningen. Han hevdet at amerikansk lov tillot myndighetene å få tilgang til og behandle personopplysninger på en måte som var uforenlig med europeiske personvernstandarder.

EU-domstolen delte Schrems' bekymringer og erklærte Privacy Shield som ugyldig. Avgjørelsen var basert på to hovedgrunner. For det første mente domstolen at amerikanske myndigheters tilgang til personopplysninger ikke var tilstrekkelig begrenset, og at europeiske borgere dermed ikke hadde effektive rettsmidler og beskyttelse mot slike inngrep. For det andre fant domstolen at Privacy Shield ikke ga tilstrekkelig rettssikkerhet når det gjaldt overføring av personopplysninger til tredjeland.

Denne avgjørelsen førte til at Privacy Shield-ordningen ikke lenger kunne brukes som en gyldig mekanisme for overføring av personopplysninger mellom EU og USA. Den etterlot et tomrom og skapte betydelig usikkerhet rundt internasjonal dataoverføring.

Etter erklæringen om ugyldighet må selskaper nå benytte alternative mekanismer, som standardkontraktsklausuler eller bindende bedriftsregler, for å sikre at personopplysninger overføres i samsvar med europeiske personvernstandarder. Schrems II-saken var dermed en viktig påminnelse om behovet for å ivareta personvernrettighetene til europeiske borgere ved internasjonal dataoverføring og legge til rette for en mer robust og sikker praksis på dette området.

Schrems II-dommen

Schrems II-saken utfordret overføringen av personopplysninger fra EU til USA og hadde som mål å vurdere gyldigheten av standardkontraktsklausuler, som er en vanlig mekanisme for slike overføringer. EU-domstolen avgjorde saken i 2020 og bekreftet at standardkontraktsklausuler fortsatt kunne brukes for å overføre personopplysninger til tredjeland.

Imidlertid påpekte domstolen at det var nødvendig å foreta en grundig vurdering av mottakerlandets lover og praksis, spesielt med tanke på eventuell adgang til og inngrep i personopplysninger fra offentlige myndigheter. Dette innebar at selskaper som benyttet standardkontraktsklausuler, nå også måtte gjøre en egen vurdering av sikkerheten rundt overføringen av personopplysninger og implementere eventuelle tilleggstiltak for å sikre adekvat beskyttelse.

Schrems II-saken hadde dermed stor innvirkning på internasjonal dataoverføring og understreket behovet for en grundig vurdering av personvernrisikoer ved overføring av personopplysninger til tredjeland, med spesiell oppmerksomhet rettet mot sikkerhetspraksis og myndighetsadgang i det aktuelle landet.

Abonner på Greypaper

Få med deg alle oppdateringene og eksklusiv tilgang på digitale verktøy og annet innhold. Meld deg på helt gratis.
ola.nordmann@example.com
Abonner