Tre år siden slo Schrems II-dommen fast at USA ikke tilbyr god nok beskyttelse av personvernet til at man kan overføre persondata dit.
Nå har EU-kommisjonen avgjort at USA oppfyller kravene til at det igjen skal være en trygg havn for våre persondata.
Får lov til å spionere gjennon mobiler
Omfattende avgjørelse
Dette snur igjen opp ned på hvordan europeiske bedrifter skal vurdere personvernet ved overføringer til USA. Adekvansavgjørelsen er omfattende, og et relativt komplekst juridisk dokument. Det mest sentrale poenget er allikevel ganske tydelig:
"[…] the Commission concludes that the United States ensures an adequate level of protection for personal data transferred under the EU-U.S. DPF from a controller or a processor in the Union to certified organisations in the United States"
Avgjørelsen bygger på et nytt rammeverk: EU-U.S. Data Privacy Framework (DPF). Dette er en avtale mellom EU og USA som blant annet baserer seg på begrensninger på hva amerikansk etterretning kan samle inn av data. I tillegg settes det krav til hvordan europeiske borgere skal kunne klage på behandlingen av sine personopplysninger.
«Det legges ingen begrensninger på hvem man må klage til, eller i hvilken rekkefølge.»
Opprettet liste over bedrifter
For å gjøre det enklere å finne ut hvilke bedrifter man kan overføre data til, er det opprettet en offisiell liste over bedrifter som har sertifisert at de etterlever rammeverket. Listen over sertifiserte virksomheter fremstår for øyeblikket tom, og det vil nok også ta litt tid før vi får høre fra noen at de er sertifisert. Det er nemlig ikke lov å på noen måte snakke offentlig om at man oppfyller kravene i DPF før selskapets navn er publisert på listen.
"To ensure legal certainty and avoid ‘false claims’, organisations certifying for the first time are not allowed to publicly refer to their adherence to the Principles before the DoC has determined that the organisation’s certification submission is complete and added the organisation to the DPF List."
Rammeverket legger opp til at man som EU-borger har de samme rettighetene når persondataene dine behandles av et amerikansk selskap som et europeisk. Dette innebærer rett til informasjon, innsyn, retting, og muligheten til å klage på behandlingen.
Threads er ute, men du får ikke prøve
Kan klage på databehandlingen
Man kan klage på behandlingen til en rekke parter. Først og fremst skal man selvsagt kunne klage til den amerikanske bedriften som behandler opplysningene dine, men man skal også kunne klage til en uavhengig tredjepart som settes opp i USA, til sitt lokale datatilsyn, eller amerikanske DoC eller FTC. Det legges ingen begrensninger på hvem man må klage til, eller i hvilken rekkefølge.
Adekvansavgjørelsen inneholder en grundig gjennomgang av amerikansk lovgivning som gir mulighet for utlevering av personopplysninger ved ransakelse, beslag og andre juridiske mekanismer. Her omtales spesifikt FISA 702 og EO 12333 som har vært brukt av mange som de største hindrene for overføring av data til USA etter Schrems II-dommen.
Den nye Executive Order 14086 omtales som en viktig styrkelse av rettighetene til Europeiske borgere:
"On 7 October 2022, the U.S. President issued EO 14086 on Enhancing Safeguards for United States Signals Intelligence setting limitations and safeguards for all U.S. signals intelligence activities. This EO replaces Presidential Policy Directive (PPD-28) to a large extent, strengthens the conditions, limitations and safeguards that apply to all signals intelligence activities (i.e. on the basis of FISA and EO 12333), regardless of where they take place and establishes a new redress mechanism through which these safeguards can be invoked and enforced by individuals"
«Det er nok allikevel lurt å gjøre enkelte vurderinger før man haster med å sende data over atlanteren.»
Kan trekkes tilbake
Ulempen med at man her baserer seg på en Executive Order er at denne kan trekkes tilbake av enhver president når som helst. Man blir dermed sårbar for politiske endringer i USA. EU-kommisjonen understreker også i sin konklusjon hvor viktig EO 14086 er for deres konklusjon:
"Given that the limitations, safeguards and redress mechanism established by EO 14086 are essential elements of the U.S. legal framework on which the Commission’s assessment is based, the adoption of this Decision is notably based on the adoption of updated policies and procedures to implement EO 14086 by all U.S. intelligence agencies (…)"
I tillegg til dette er det et eget punkt i adekvansavgjørelsen som helt eksplisitt gir Kommisjonen rett til å trekke tilbake avgjørelsen om det gjøres vesentlige endringer til presidentordren.
I utgangspunktet gjelder den nye adekvansavgjørelsen kun for selskaper som har gjennomgått en sertifisering under det nye Data Privacy Framework og står på den offisielle listen. Dette er ikke en mulighet for alle amerikanske selskaper, da selskapet må være under oversyn av enten Federal Trade Comission (FTC) eller Department of Transportation (DoT) for å kunne delta i rammeverket.
Nå må elever selv slette metadata
Du kan lene deg på EU
På tross av dette skriver Datatilsynet at du kan lene deg på EU-kommisjonens vurdering av amerikansk lovgivning også for selskaper som ikke er sertifisert etter ordningen:
"EU-kommisjonen har allerede vurdert amerikansk lovgivning og praksiser i adekvansbeslutningen. Enkelt forklart mener EU-kommisjonen at disse ikke er et problem og at tilleggstiltak ikke er nødvendig. Forutsatt at virksomheten du skal overføre til, ikke er underlagt andre lover enn det vanlige, kommersielle amerikanske virksomheter er, kan du altså lene deg på EU-kommisjonens vurderinger. Dermed har de krevende vurderingene blitt forenklet — men ikke glem at du fortsatt må sikre et overføringsgrunnlag."
Den nye adekvansavgjørelsen er gyldig allerede nå, og man kan basere seg på denne ved overføringer til USA. Det er nok allikevel lurt å gjøre enkelte vurderinger før man haster med å sende data over atlanteren. Den viktigste vurderingen er risikoen for at denne avgjørelsen ikke blir stående. Det fremstår som at det er to vesentlige måter dette kan skje:
- Adekvansavgjørelsen utfordres i EU-retten. Max Schrems har allerede annonsert at han og organisasjonen hans noyb vil gjøre akkurat dette. Vi kan med andre ord komme til å få en Schrems III-dom som på samme måte som Schrems II fjerner muligheten til å overføre data til USA over natten.
- Politiske endringer i USA fører til at EO 14086 endres eller trekkes tilbake. En ny president kan første dag på jobb bestemme seg for å trekke tilbake denne presidentordren, eller endre den på en slik måte at EU ikke lenger anser beskyttelsen i USA som tilstrekkelig. Dette kan føre til at man umiddelbart må avslutte overføringer til USA.
I tillegg til alt dette må man — som alltid — ha behandlingsgrunnlag, overføringsgrunnlag og nødvendige databehandleravtaler på plass før man sender persondata til en annen part.