September var en vendepunktsmåned for selskaper i Europa som ønsket å dele data med USA. EUs domstol avviste en klage mot et personvernrammeverk mellom de to landene. Dette betyr at amerikanske organisasjoner kan fortsette å importere personopplysninger fra EU.
Utfordringen mot EU-US Data Privacy Framework (DPF) kom fra den franske parlamentsmedlemmet Philippe Latombe. Han var misfornøyd med detaljene i rammeverket, som gir tusenvis av amerikanske selskaper en lovlig vei til å overføre personopplysninger fra EU. Han hadde utfordret en EU-beslutning om å tillate DPF å operere, av to grunner.
Først hevdet han at den amerikanske domstolen for vurdering av personvern (DPRC) ikke var uavhengig eller upartisk. Denne domstolen, som er pålagt å bli bemyndiget av rammeverket, er et USA-drevet organ som vurderer klager fra EU-innbyggere om behandlingen av deres data. Han klaget også over at amerikanske etterretningstjenesters innsamling av massedata uten forhåndsgodkjenning fra domstolen brøt EUs pakt om grunnleggende rettigheter.
Dette var ikke første gang EU har håndtert utfordringer knyttet til personvernregler. Advokat Max Schrems hadde allerede utfordret to forsøk på likeverdige regelverk mellom EU og USA tidligere.
Schrems sendte inn sin første klage i 2013, der han utfordret Facebooks amerikanske dataoverføringer under Safe Harbor, på bakgrunn av Edward Snowdens NSA-avsløringer om overvåking. Schrems I-kjennelsen fra oktober 2015 ugyldiggjorde Safe Harbor fullstendig, og slo fast at amerikanske overvåkingslover tillot innblanding utover det som var «strengt nødvendig».
EU og USA prøvde igjen med Privacy Shield, som erstattet Safe Harbor i 2016, men Schrems utfordret umiddelbart både det nye rammeverket og standard kontraktsklausuler, og argumenterte for at de underliggende amerikanske overvåkingsmyndighetene forble uendret. Schrems II-avgjørelsen fra juli 2020 ugyldiggjorde Privacy Shield, samtidig som den opprettholdt standard kontraktsklausuler (SCC-er), som er EU-avtaler som organisasjoner kan bruke til å autorisere dataoverføringer. Disse krever konsekvensanalyser av overføringer (TIA-er) som krever at selskaper gjør sin egen due diligence for å vurdere om EU-data vil bli beskyttet i destinasjonslandet.
En manglende overbevisning av retten
Hadde Latombe lykkes med sin første utfordring, ville det ha kastet selskaper tilbake i den tungvinte verdenen av standardkontraktskunder. Retten var imidlertid uenig med ham. Dommere kan bare utnevnes til retten av riksadvokaten, argumenterte den, og slo fast at dette passet med definisjonen av uavhengighet. Den la også til at domstoler med store innkrevinger ikke krever forhåndsgodkjenning for store innkrevinger under Schrems II. I stedet sa den, ut fra det en nå vet (etterpå) er autorisasjon nok. DPRC gir allerede det.
Alt dette peker på at beskyttelsen under amerikansk lov er «i hovedsak tilsvarende» den under europeisk lov, ifølge kjennelsen, i henhold til EU-domstolens kunngjøring.
Det er ikke over før det er over
Så, hva betyr dette for status quo? På overflaten tyder det på at amerikanske bedrifter kan fortsette å overføre EU-borgeres data dit ustraffet. Men ikke legg lovbøkene til side ennå; det er allerede ytterligere juridiske utfordringer på gang som tyder på at dette ikke er over.
NOYB (Schrems' organisasjon, som står for «None Of Your Business») hevder at DPF ganske enkelt ompakker de samme overvåkingsfullmaktene som EU-domstolen to ganger har avvist. «Beskyttelsen under den nye avtalen er nesten 1:1 en kopi/lim inn av de tidligere avtalene som EU-domstolen fant ulovlige i Schrems I og Schrems II», heter det. «På noen elementer er beskyttelsen enda verre enn i den eldre presidentordren, som ikke var tilstrekkelig for EU-domstolen. Det er derfor overraskende at Høyesterett ville avsi en annen avgjørelse om den tredje versjonen av EU-USA-avtalen sammenlignet med de to foregående versjonene.»
Latombe kan nå anke, med en frist på midten av november i år. Siden personvernforkjempere kritiserer kjennelsen, er det sannsynlig at DPF vil møte ytterligere angrep.
Med dette i tankene bør organisasjoner benytte en lagdelt tilnærming til dataoverføring som den mest juridisk robuste strategien, sier advokater. Bindende selskapsregler (BCR-er) spiller også en rolle her. Dette er avtaler som selskaper sikrer med regulatorer for å overføre data innenfor sine egne kontorer på tvers av landegrenser.
«Foreløpig er DPF fortsatt en gyldig og strømlinjeformet måte å overføre personopplysninger fra EU til USA.» forklarer Advokatfirmaet Clifford Chance. «Bygg rundt det, hold SCC/BCR-håndbøkene klare, oppdater vurderingene av overføringskonsekvenser (med henvisning til EO 14086 og DPRC der det er relevant), og overvåk både anke- og det amerikanske tilsynslandskapet», rådet selskapet.
I 2021 utarbeidet også Det europeiske databeskyttelsesrådet (EDPB) publisert veiledning om hva dataeksportører kan gjøre for å bidra til å opprettholde EUs databeskyttelse når de eksporterer data til andre land. Dette dokumentet råder eksportører til å dokumentere dataoverføringene sine fullt ut, og til å verifisere overføringsverktøyet de bruker i henhold til artikkel 46 i GDPR. I tillegg til SSC-er og bindende selskapsregler inkluderer andre slike verktøy atferdsregler, sertifiseringsmekanismer og ad hoc-kontraktsklausuler. De bør også vurdere loven i destinasjonslandet hvis det ikke finnes en tilstrekkelighetsavtale på plass. Det gir også råd om tilleggstiltak, for eksempel kryptering av dataene, med nøkler som oppbevares i EU.
Så det er business as usual for nå, men ansvaret for risikostyring krever en reserveplan. Med en kaotisk regjering i vest og faren for ytterligere juridiske utfordringer i Europa, bør ikke selskaper stole utelukkende på DPF.
