- Vid månadsskiftet ska EU och USA ha enats om en ny överenskommelse
- Datainspektionen avvaktar med att vidta åtgärder
- EU:s dataskyddsmyndigheter sammanträder i Bryssel 2 februari
I höstas ogiltigförklarade EU-domstolen till slut det beslut som gjort överföring av personuppgifter till USA möjlig de senaste femton åren. Bakgrunden är bl a att amerikanska myndigheters massavlyssning kommit upp i ljuset. Den så kallade Safe Harbor-överenskommelsen träffades året före terrordåden i New York 2001, och det står nu klart att lösningen inte fungerat post-9/11.
- Det EU-domstolen säger är att vi inte kan lite på USA. USA tycker att det är dubbelmoral eftersom länder inom EU också övervakar, säger Christina Berggren vid MAQS.
Tills vidare är företag hänvisade till att inhämta samtycke eller att överföra uppgifter med standard contractual clauses och binding corporate rules som grund.
- Vi har rekommenderat att inte överföra personuppgifter med stöd av Safe Harbor och att hålla uppgifterna inom EU. Då är man säker. De som får problem är stora aktörer som Facebook, säger Christina Berggren.
Någon ny överenskommelse verkar inte vara i sikte, och nu rinner tiden ut. Finns det inte ett Safe Harbor 2.0 vid månadsskiftet kan Europas dataskyddsmyndigheter komma att vidta åtgärder mot företag som fortsätter överför personuppgifter. Enligt Martin Brinnen, jurist vid Datainspektionen, kommer Datainspektionen dock inte börja tillsyna den närmsta tiden och kommer troligtvis inte använda sanktioner i första hand. Fokus kommer istället ligga på information och utbildning och på att förbereda rutiner.
USA och EU har olika syn på övervakning och integritet, men regelverken är under förändring på båda sidor Atlanten. USA har stärkt integritetsskyddet sedan Snowdenavslöjandena och flera av EU:s medlemsstater verkar efter terrordåden i Paris vara beredda att gå i mer "amerikansk" riktning.
- Det har ändrat dynamiken tror jag, säger dataskyddsexperten Malin Edmar.
- Man kan spekulera åt vilket håll som helst, inget är fel men inget är nog rätt heller. USA måste kontrollera att terrorister inte rör sig över Atlanten. Man kanske drar öronen åt sig nu.
EU-kommissionen har skisserat hur ett Safe Harbor 2.0 skulle kunna se ut. Men även om en överenskommelse träffas är det osäkert om en sådan skulle godkännas av EU-domstolen utan lagändringar i USA. En rad europeiska och amerikanska organisationer, däribland Open Rights Group, Privacy International, European Digital Rights, Consumer Watchdog, Bill of rights defense committee och Privacy Times, skriver i ett brev tillställt EU-kommissionen och det amerikanska handelsdepartementet att det är amerikansk lagstiftning och USA:s internationella åtaganden som avgör om överföring är tillåten. EU-domstolen skulle med största sannolikhet underkänna ett Safe Harbor 2.0, menar de.
Karl-Fredrik Björklund, advokat vid Carlér, tror att ett nytt Safe Harbor kan fungera om NSA och andra amerikanska myndigheter får nya rutiner och regler:
- Det är den urskiljningslösa övervakningen som inte är ok. USA måste sluta med massövervakning av européer.
Safe Harbor, kort bakgrund:
Överföring till tredjeland får enligt dataskyddsdirektivet, i Sverige införlivat genom personuppgiftslagen, bara ske om landet uppfyller kravet på adekvat skyddsnivå. År 2000 beslutade EU-kommissionen att överföring till företag i USA som följer de så kallade Safe Harbor-principerna var tillåten.
Efter terrordåden den 11 september 2001 införde USA ett antal lagändringar som underlättade för myndigheter att övervaka enskilda. Kommissionen har konstaterat att myndigheter som NSA kan få tillgång till uppgifter som överförts inom ramen för Safe Harbour.
Amerikanska myndigheter har gjort gällande att USA inte ägnat sig åt " indiscriminate surveillance of anyone, including ordinary European citizens". Men den 6 oktober 2015 ogiltigförklarade EU-domstolen (C-362/14) kommissionens beslut från år 2000. Detta efter att Max Schrems väckt talan om Facebooks hantering av personuppgifter.
Domen innebär att överföring till USA inte längre kan ske med stöd av kommissionens beslut om Safe Harbor. Tusentals företag som åtagit sig att följa principerna och som fortsätter överföra uppgifter med Safe Harbor som enda grund bryter alltså mot gällande rätt.
Vad händer nu?
EU-domstolens dom utesluter inte överföring: Domen rör bara överföring med Safe Harbor som grund. Överföring kan enligt EU-kommissionens råd från den 6 november 2015 ske med standard contractual clauses och binding corporate rules som grund, i vart fall fram till den sista januari 2016. Överföring är också tillåten om den som registrerats samtycker under förutsättning att den registrerade informerats om riskerna med överföringen.
Användning av trustees: Vissa går över till att lagra data hos trustees i Europa. Microsoft kommer t ex använda nybyggda tyska datacenter för Azure och Office 365 kontrollerade av Deutsche Telekom. Microsoft kommer inte kunna komma åt informationen utan tillstånd från kund eller från Deutsche Telekom och kommer inte kunna ge amerikanska myndigheter tillgång till den.
Lagändringar på båda sidor Atlanten: USA:s Patriot Act upphörde att gälla i juni 2015 och har ersatts av Freedom Act. NSA måste numera ansöka om tillstånd för avlyssning hos FISA-domstolen. En privacy bill of rights act är också på gång. Samtidigt som USA stärker integritetsskyddet öppnar flera medlemsstater för bl a ökade möjligheter att avlyssna enskilda i syfte att bekämpa terrorism. Samtidigt fortsätter arbetet med den europeiska dataskyddsreformen. Den kommande dataskyddsförordningen innehåller bland annat bestämmelser om rätten att bli glömd och tuffa sanktionsmöjligheter vid övertramp.
Förhandlingar om Safe Harbor 2.0: EU och USA försöker nu hitta en politisk lösning som gör det möjligt att överföra personuppgifter - och därmed att göra affärer. 2013 skrev Kommissionen att:
" ... Safe Harbour has become a vehicle for EU-US flows of personal data. The importance of efficient protection in case of transfers of personal data has increased due to the exponential increase in data flows central to the digital economy and the very significant developments in data collection, processing and use. Web companies such as Google, Facebook, Microsoft, Apple, Yahoo have hundreds of millions of clients in Europe and transfer personal data for processing to the US on a scale inconceivable in the year 2000 when the Safe Harbour was created."
Handelsintresset och intresset av rörlighet för information ska förenas med skyddet för den personliga integriteten. Diskussionerna om en ny överenskommelse anpassad efter de krav som ställs upp i EU-domstolens dom ska vara klara till utgången av januari. Så ser det inte ut att bli. EU:s dataskyddsmyndigheter sammanträder i Bryssel den 2 februari för att diskutera hur personuppgifter kan överföras utan Safe Harbor.
USA ska ha överlämnat ett antal förslag till en ny överenskommelse i veckan, rapporterar Reuters. Än så länge finns ingen överenskommelse, men flera bedömare jag pratat med tror att förhandlingarna landar i ett nytt Safe Harbor.
- Någonting kommer. Gissningsvis förlängs fristen, säger Christina Berggren.
Fredrik Svärd
[email protected]
Legaltech.se är ny blogg om juridik och digitalisering. Följ oss gärna på LinkedIn, Twitter, Facebook och Instagram.