25. mars kunne Europakommisjonens president Ursula von der Leyen fornøyd konstatere at USA og EU var kommet frem til enighet om en ny ordning for overføring av personopplysninger ut av EU. Ordningen vil også gjelde for EØS-stater som Norge.

Ove André Vanebo
Ove André Vanebo

Enigheten kan løse noen praktiske problemer, men fremdeles gjenstår mye arbeid – og det vil oppstå nye uklarheter.

Virksomheter som sender personopplysninger ut av EU/EØS, har levd i et juridisk kaos siden sommeren 2020: Personvernaktivisten Max Schrems mente at Facebooks overføringer av personopplysninger om ham til USA ikke ivaretok sentrale rettigheter, blant annet fordi det amerikanske overvåkningsregimet er inngripende. Saken ble tatt videre i klageorganer og endte opp i EU-domstolen.

Domstolen fastslo i den såkalte Schrems II-dommen at den særlige overføringsmekanismen for USA, «Privacy Shield», er ugyldig. Samtidig ble det slått fast at virksomheter som overfører opplysninger må sørge for at de er sikret et beskyttelsesnivå som i det vesentlige tilsvarer det europeiske personvernreglementet.

Foreløpig har det europeiske Personvernrådet utgitt råd om tiltak som bør på plass for å oppnå tilstrekkelig personvern. Europakommisjonen har utstedt nye standardkontrakter for virksomheter, som skal gjøre det enklere å regulere datautveksling. Problemet er at disse mekanismene forutsetter en konkret vurdering av om tiltakene er adekvate.

Det er dette Joe Biden og von der Leyen prøver å finne en løsning på.

Selv om en ny avtale mellom EU og USA vil være en politisk løsning, vil den neppe være en «quick fix» som løser alle problemene.

For det første er avtalen per i dag bare det von der Leyen har omtalt som en «agreement in principle»: noe som kan minne om en intensjonsavtale eller en enighet om å gå videre for å utforme mer konkrete avtaler.

Det hvite hus har uttrykt i en pressemelding at det vil komme på plass en «Trans-Atlantic Data Privacy Framework», som skal etterfølges av reguleringer for å sikre forholdsmessighet og nye mekanismer for å ivareta individers rettigheter.

Sentralt i Schrems II-dommen var at amerikanske myndigheters kontroll og innsamling av data gikk langt utover det nødvendige og proporsjonale. Det var heller ingen uavhengig eller akseptabel klageordning i USA.

Allerede er det varslet at overvåkningen skal begrenses til det som er nødvendig for å fremme legitime nasjonale sikkerhetsmål, og den må ikke ha uforholdsmessig negativ innvirkning på personvern og andre rettigheter. Det skal bli mulig å bringe saker inn for et uavhengig domstolsorgan, en såkalt «Data Protection Review Court», som vil bestå av personer valgt utenfor den amerikanske regjeringen – og som skal ha myndighet til å avgjøre krav og avbøtende tiltak etter behov.

Amerikanske etterretningsorganer skal i tillegg vedta prosedyrer for å sikre effektivt tilsyn med nye standarder for personvern og sivile rettigheter.

Det er imidlertid vanskelig å si om amerikanske politikere er villige til å justere nok for å tilfredsstille kravene i Schrems II-avgjørelsen.

For eksempel uttrykker Det hvite hus at USA nå skal endre rammene for «signals intelligence collection», men det er ikke åpenbart om dette også vil omfatte opplysninger som er lagret og ikke sendes mellom ulike virksomheter. Videre er det uklart om lovens rammer vil korrigeres, eller om det kun er tale om nye prosedyrer som utarbeides administrativt av den utøvende makt.

Dette bringer oss over til den andre bolken av problemstillinger: En ny avtale mellom USA og EU vil måtte forholde seg til grunnleggende krav om forholdsmessighet og nødvendighet for overvåkningstiltak. «Privacy Shield»-ordningen ble som nevnt kjent ugyldig – og før den ordningen slo EU-domstolen fast i Schrems I-dommen at heller ikke forgjengeren, «Safe Harbour»-mekanismen, var tilstrekkelig for å sikre personvernet.

Max Schrems har allerede varslet at han vil vurdere rettslige skritt for å slå ned på en utilstrekkelig avtale.

For det tredje må virksomhetene som eksporterer og importerer personopplysninger til USA selv sørge for passende tiltak for å avbøte personvernulemper. I likhet med «Privacy Shield» vil trolig den nye avtaleordningen innebære et selvsertifiseringssystem.

Problemet med overføringsmekanismene er at mange selskaper nøyer seg med å utforme formaliteter, uten å ta hensyn til at realitetene er avgjørende. En avtale for USA vil heller ikke løse problemene med dataoverføring til for eksempel India eller Kina.

Man skal være forsiktig med å spå om fremtiden, ikke minst nå om dagen. Men det er neppe for dristig å anta at vi ser Schrems III-dommen før siste ord er sagt om dataoverføringer.

Max Schrems har allerede varslet at han vil vurdere rettslige skritt for å slå ned på en utilstrekkelig avtale

(Vilkår)Copyright Dagens Næringsliv AS og/eller våre leverandører. Vi vil gjerne at du deler våre saker ved bruk av lenke, som leder direkte til våre sider. Kopiering eller annen form for bruk av hele eller deler av innholdet, kan kun skje etter skriftlig tillatelse eller som tillatt ved lov. For ytterligere vilkår se her.