EU-kommisjonen har kommet til en politisk løsning med USA som en erstatning for Safe Harbor som ble kjent ugyldig av EU-domstolen i oktober i fjor.
EUs arbeidsgruppe for personvern, Artikkel 29-gruppen, var samlet i Brussel da enigheten mellom EU og USA var et faktum. Også vi i det norske Datatilsynet møter i denne gruppen, og vi fikk inn i møtet de første opplysningene om hva avtalen mellom EU og USA inneholdt.
Analysen av hva som ligger i denne nye enigheten vil nå starte.
Kjernespørsmålet er kanskje rett og slett: Vil EU – U.S. Privacy Shield oppfylle EUs krav?
Vil EU – U.S. Privacy Shield oppfylle de fire garantiene som Artikkel 29 mener gir et tilstrekkelig beskyttelsesnivå? Det er det avgjørende spørsmålet.
Arbeidet vil starte så snart vi ser selve avtalen mellom EU og USA. Det er vanskelig å si at alt har gått i orden uten å ha sett konkret hvilke lovnader som USA har kommet med overfor Europa.
Artikkel 29-gruppen har utformet fire grunnleggende garantier som må være oppfylt for at personvernet skal være ivaretatt av en ny avtale (min oversettelse):
- Behandling av personopplysninger må være basert på klare og tilgjengelige regler. Dette betyr at alle som er rimelig informert skal kunne forutse hva som kan skje med hennes/hans opplysninger om de blir behandlet av statlige myndigheter inkludert overfør til andre.
- Behandlingen må være basert på nødvendighet og forholdsmessighet for det aktuelle formålet. Det må med andre ord være balanse mellom formålet med innsamlingen og behandlingen (ofte omtalt som nasjonal sikkerhet) og rettighetene til den enkelte.
- En uavhengig tilsynsmekanisme må være tilgjengelig og den må være upartisk og effektiv. Dette kan enten være en domstol eller en annen uavhengig instans, så lenge den har tilstrekkelig fullmakter til å gjennomføre nødvendig kontroll.
- Det må være effektive rettsmidler tilgjengelig for den enkelte registrerte. Alle skal ha rett og mulighet til å kreve egne rettigheter hos et uavhengig organ.
Disse garantiene gjelder selvfølgelig ikke bare overføring til USA, men også alle andre tredjeland. Det vil si land utenfor EU/EØS eller land som EU mener har gode nok regler og rutiner for beskyttelse av personopplysninger.
Enigheten kom så å si innenfor den tidsramme som Artikkel 29-gruppen hadde gitt som ytre ramme for forhandlingene mellom USA og EU. Etter 31. januar var det enighet mellom datatilsynene i Europa om å starte kontroller rettet mot overføring av opplysninger til USA om det ikke ble noen avklaring på hva som kom til å skje etter Safe Harbor avtalens endelikt.
Det er nedlagt betydelig innsats fra EU og USA for å søke en løsning innen utgangen av januar 2016, og det blir interessant å se om de ha lykkes i å lage et system som er godt nok. Politisk mener EU-kommisæren for justis, forbrukersaker og likestilling, Vera Jourova, at de har det. Så får tiden vise om det er tilfellet når analysen er klar.
Kommisær Jourova forklarte noe om hva som ligger i enigheten. Jeg oppfattet at målet med forhandlingene var å se om det var mulig å kompensere for de mangler i Safe Harbor-avtalen som EU-domstolen pekte på i Schrems-saken, da Safe Harbor-avtalen ble kjent ugyldig. Blant annet pekte dommen på mangel på forutberegnelighet for hva amerikanske myndigheter kan gjøre med opplysninger som er overført til USA og mangelen på mulighet til å klage eller på annen måte angripe en innsamling og behandling av opplysningene.
På amerikansk side skal det blant annet opprettes en ombudsordning for å sikre klagemulighet for enkeltindivider. Ordningen skal ligge under det amerikanske State Department, og etter hva jeg oppfattet rett under Secretary of State for å sikre tilstrekkelig gjennomslagskraft. I tillegg vil Federal Trade Commission (FTC) kunne ta klager til behandling som tidligere. Svakheten med FTC er at de ikke er forpliktet til å ta klager opp til behandling. Det vil si at den enkelte ikke har noen effektiv klagemulighet, noe Europa mener må komme på plass.
Etterretningsorganisasjoner skal videre «prioritere å samle inn opplysninger om konkrete personer» og ikke masse-innhente opplysninger om «alle» («bulk collection»). Flere har kritisert denne formuleringen. Den sier egentlig ikke så mye om hva som kan skje med opplysningene. Det er en forbedring fra tidligere, da ingen visste noe om hva etterretningsorganisasjonene gjorde med opplysninger om ikke-amerikanere, men den er fortsatt uklar. Hvem skal for eksempel foreta vurderingen av hva som skal prioriteres? Om det er etterretningen selv, er det en klar svakhet.
Her avventer jeg den endelige konklusjonen til vi har sett hva avtalen sier – noe som tar noen uker å få skrevet ned, ifølge kommisær Jourova.
Analysen som nå skal gjøres vil også omfatte de andre rettelige grunnlagene for overføring av opplysninger til tredjeland – inkludert USA. Vil EUs standardkontrakter (Standard Contractual Clauses (SSC)) og Binding Corporate Rules (BCR) fortsatt være gyldige grunnlag for overføring av opplysninger, eller vil de måtte modifiseres i tråd med det nye Privacy Shield? Eller vil det være umulig å skape rettslige gode rammer for overføring av opplysninger til USA uten mer radikale endringer i amerikansk lovgivning?
For norske virksomheter er dette det viktigste: Frem til Artikkel 29-gruppen har sett på dette, gjelder det samme som etter at Safe Harbor-avtalen ble kjent ugyldig.
Kjernespørsmålet er kanskje rett og slett: Vil EU – U.S. Privacy Shield oppfylle EUs krav?
For norske virksomheter er dette det viktigste å vite: I tiden frem til Artikkel 29-gruppen har sett på dette, gjelder det samme som etter at Safe Harbor-avtalen ble kjent ugyldig. Standardkontrakter fra EU og binding corporate rules er fortsatt rettslige grunnlag for overføring.
Det er planlagt et ekstraordinært møte i Artikkel 29-gruppen i mars for å ta stilling til hva som skal skje videre fremover.
Kort oppsummert: Så kjedelig det enn er, er vi her nødt til å vente og se hva som blir det rettslige bildet i EU på dette området.