Artikel top billede

(Foto: JumpStory)

Trans-Atlantic Data Privacy Framework: Løsning på cloudproblemerne eller Schrems III?

Klumme: Der er en ny aftale på vej mellem EU og USA, der skal afløse Privacy Shield, som EU-domstolen kendte ugyldig i juli 2020. Vil denne nye aftale afhjælpe problemerne eller ende i endnu en dom, som gør den ugyldig?

Denne klumme er et debatindlæg og er alene udtryk for forfatterens synspunkter.

Reaktionerne på den nye aftale har været mange og meget forskellige. Fra de tvivlende, som ikke tror, at aftalen vil løse noget-som-helst, over de afventende, til dem, der er så positive, at de ikke kan få armene ned af bare jubel.

Der er nok mange, der ligesom jeg var ganske overraskede, da EU-Kommissionens formand Ursula von der Leyen tweetede, at der var opnået enighed om principperne i en ny aftale, der skal sikre den transatlantiske bevægelse af data.

Hun kom dog ikke med yderligere oplysninger om aftalen, og derfor var reaktionerne også derefter.

Senere samme dag kom Det Hvide Hus med en pressemeddelelse, som uddybede, hvilke grundlæggende principper der var opnået enighed om mellem EU og USA.

Hvorfor er det egentlig, man, efter to forudgående og nu ugyldige aftaler, håber på, at tredje gang er lykkens gang? Som svar herpå er det nemmest at citere Det Hvide Hus:

“For citizens and companies on both sides of the Atlantic, the deal will enable the continued flow of data that underpins more than $1 trillion in cross-border commerce every year, and will enable businesses of all sizes to compete in each other’s markets.”

Aftalen er ikke på plads

Det er vigtigt at understrege, at aftalen ikke er på plads. Faktisk er aftalen ikke offentliggjort, og vi kender derfor heller ikke indholdet endnu.

Når den bliver offentliggjort, skal kommissionen på baggrund af den endelige aftaletekst lave en tilstrækkelighedsvurdering af beskyttelsesniveauet, før vi har et nyt grundlag til at udveksle personoplysninger på tværs af Atlanten.

Alle disse usikkerheder gør det svært at vurdere, om aftalen i sidste ende bliver en løsning på vores cloudproblemer, eller om der er tale om endnu en dødssejler.

Vi starter med at se på, hvad der rent faktisk er meldt ud vedrørende den nye aftale, og på den baggrund vurderer, om det vil gøre nogen forskel på cloudproblemet.

De fire garantier

Nu bliver det lidt teknisk, men hold ud. Både Safe Harbor og Privacy Shield, de to tidligere aftaler imellem USA og EU, blev underkendt, da de ikke sikrede de fire essentielle europæiske garantier.

De fire essentielle europæiske garantier er følgende:

  1. Behandlingen skal være baseret på klare, præcise og tilgængelige regler

  2. De legitime interesser, der forfølges, skal være nødvendige og proportionelle

  3. Der skal eksistere en uafhængig tilsynsmekanisme

  4. Der skal være effektive retsmidler tilgængelige for de registrerede.
De fire essentielle garantier betyder reelt set, at selvom man har en løsning, hvor beskyttelsesniveauet er højt, kan den stadig være ulovlig.

Dette gør sig gældende, hvis landet, hvor løsningen fungerer fra, ikke samtidig overholder de fire garantier.

De mekanismer, der etableres med den nye løsning, lader umiddelbart til rent faktisk at tage udgangspunkt i de fire garantier, i modsætning til Privacy Shield og Safe Harbor der aldrig gjorde det.

Genetablering af et overførselsgrundlag

Ifølge det Hvide Hus skal det nye framework genetablere et overførselsgrundlag af personoplysninger fra EU til USA, ved at USA forpligter sig til at implementere nye sikkerhedsforanstaltninger, som skal sikre, at deres digitale efterretningsaktiviteter skal foregå proportionalt med formålet.

Yderligere skal der etableres en mulighed for EU-borgere til at søge erstatning, hvis de mener, at de er målrettet ulovlige digitale efterretningsaktiviteter.

Helt konkret, eller så konkret som det nu kan siges med en ufærdig tekst, udtaler Det Hvide Hus, at aftalen skal indeholde følgende elementer, som skal sikre, at aftalen adresserer de forhold, som Den Europæiske Unions domstol brugte til at ugyldiggøre Privacy Shield i Schrems-II afgørelsen:

  • Indsamling af digitale efterretninger må kun foretages, hvor det er nødvendigt for at fremme legitime nationale sikkerhedsmål, og må ikke uforholdsmæssigt påvirke beskyttelsen af individets privatliv og borgerlige frihedsrettigheder.

  • EU-borgere kan opnå klageadgang fra en ny klagemekanisme på flere niveauer, som omfatter en uafhængig databeskyttelsesdomstol, der vil bestå af personer, som ikke må være en del af den amerikanske regering, og som vil have fuld bemyndigelse til at behandle krav og kræve afhjælpende foranstaltninger efter behov.

  • Amerikanske efterretningstjenester vil vedtage procedurer for at sikre effektivt tilsyn med nye standarder for privatliv og borgerlige frihedsrettigheder.
De amerikanske efterretningstjenester skal altså fremover sikre sig, at efterretningsindsamlingerne er nødvendige og forholdsmæssige i forfølgelsen af definerede nationale sikkerhedsinteresser.

Nødvendighed og proportionalitet af databehandlingen er netop en af de fire essentielle europæiske garantier.

Det betyder altså, at hvis de rent faktisk sikrer dette, er det et skridt på rette vej i forhold til, at aftalen sikrer overholdelse af de fire essentielle garantier, og dermed overlever endnu en kritisk gennemgang ved domstolene.

Yderligere skal der også oprettes en klagemekanisme og en uafhængig databeskyttelsesdomstol.

Dette er tydeligt et forsøg på at imødekomme EU-domstolen i forhold til garantierne om en uafhængig tilsynsmyndighed, og at der for EU-borgere skal sikres adgang til effektive retsmidler for de registrerede.

Aftalen sigter altså på at sikre de fire essentielle garantier.

Selv om den ikke umiddelbart adresserer kravet om klare, præcise og tilgængelige regler, så er dette i højere grad et vurderingsspørgsmål, hvor de tre andre garantier ikke tidligere har været til stede for EU-borgere.

Disse nye amerikanske forpligtelser vil danne grundlag for Kommissionens vurdering af aftalens tilstrækkelighed.

Selv om denne også udestår, er det svært at forestille sig, at Kommissionen ikke vil træffe en beslutning om tilstrækkelighed, når det drejer sig om en aftale, som Kommissionen selv har forhandlet og godkendt.

Executive order

Og så er alting jo godt…. Eller er det?

For mekanismerne i Trans-Atlantic Data Privacy Framework etableres i USA via en executive order, og det kan godt give os problemer.

En executive order udstedes af den til enhver tid siddende præsident, og den vil ligeledes kunne trækkes tilbage med det samme, hvis en ny præsident ønsker dette.

Det er ikke usædvanligt, at nye præsidenter trækker executive orders tilbage, som den tidligere præsident har udstedt.

Aftalen har således kun værdi for EU-borgernes rettigheder, så længe den siddende præsident synes, at det giver mening.

Garantierne burde i stedet stadfæstes ved lov af den amerikanske kongres, da de så ville være sværere at fjerne igen.

Spørgsmålet, som de europæiske virksomheder og offentlige organisationer skal stille sig selv, er så, om man som organisation kan leve med den usikkerhed, som ligger i, at aftalen bygger på executive order?

Personligt er jeg tilhænger af fortsat at tage udgangspunkt i eksempel syv fra Datatilsynets nye vejledning om cloud, hvor man sikrer, at personoplysningerne slet ikke bliver overført til tredjelande.

Så slipper man helt for at forholde sig til kravene vedrørende overførsel til tredjelande i databeskyttelsesforordningens kapitel V.

Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.

Har du en god historie, eller har du specialviden, som du synes trænger til at blive delt?

Læs vores klumme-guidelines og send os din tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.



CIO
Årets CIO 2022: Nu skal Danmarks dygtigste CIO findes - er det dig? Eller kender du en, du vil indstille?