Breaking news: Ny avtale om overføring mellom USA og EU annonsert

I en pressemelding fra USA og EU går det frem at en ny avtale og grunnlag for overføringer for personopplysninger mellom EU og USA er på plass. Avtalens endelige utforming er ikke klar, men Det hvite hus har publisert en faktaliste.

Les faktalisten her.

I dommen de fleste av oss referer til som Schrems II-dommen, ble Privacy Shield funnet ulovlig, og norske, nordiske og EU-baserte selskap måtte gjennomgå omfattende prosesser i forhold til evaluering av hvordan de lagrer data, hvor de lagrer data og ikke minst - hvor ulike programvareleverandører lagrer eller behandler sine data. 

Grovt forenklet: 

Data skulle lagres i EU.
Data som skulle ut av EU må krypteres. 
Data som er lagret i EU (uten kryptering) skal ikke gis tilgang fra borgere utenfor EU/EØS. 

Dersom du på et eller annet vis ikke klarte å forholde deg til dette, gjelder det å dokumentere hva du har gjort for å bøte på det og ikke minst - hvorfor dere har valgt å ikke etterkomme kravene. 

I fraværet av en gyldig avtale for utveksling av data mellom EU og USA har selskap som Google og Meta (Facebook) jobbet hardt for å få frem en ny. 

Google var raskt ute med å berømme jobben som var gjort og en talsperson sa i en kommentar til TechCrunch: 

“Folk vil bruke digitale tjenester fra overalt i verden, vitende at deres informasjon er sikker og beskyttet når den går på tvers av landegrenser. Vi berømmer arbeidet utført av EU-kommisjonen og USAs regjering for å bli enige om et nytt rammeverk for å sikre transatlantiske dataoverføringer.”

Her er noen av endringene som kommer i avtalen når den er utarbeidet og publisert:

• USA har forpliktet seg til å implementere tiltak for å begrense innsyn i personopplysninger for amerikanske overvåkingsmyndigheter (uten at det skal gjøres endringer i den amerikanske lovgivningen)
• Innbyggere i EU/EØS skal gis flere muligheter til å klage på datautveksling og andre overvåkingstiltak
• USA skal etablere en uavhengig domstol omtalt som Data Protection Review Court, som blant annet skal håndtere klager/innsyn.
• Amerikanske overvåkingsmyndigheter skal etablere og implementere prosedyrer for å sikre at personvern respekteres, uten at dette beskrives i detalj. 

Hva sier Max Schrems, da?

Max Schrems, mannen bak domstolen som felte Privacy Shield, har publisert en kommentar med tittelen “Lipstick on a pig”, så det er tydelig hva han mener. I kommentaren skriver han også at dette nye avtaleverket vil tas for retten innen måneder etter ferdigstilling:

“Den endelige teksten vil ta mer tid, når vi får den, vil vi dybdeanalysere den sammen med våre loveksperter i USA. Hvis den ikke er på linje med EU-lovgivning, vil vi eller en annen gruppe utfordre den. I ytterste instans vil EU-retten avgjøre dette en 3. gang. Vi forventer at denne er tilbake i retten måneder etter publisering.” 

Oppsummering

Det er ingen tvil om at vi behøver få en ny avtale mellom USA og EU på plass for å rydde opp i all usikkerheten som dukket opp i kjølvannet av Schrems II-dommen. Men om dette vil gi oss en permanent løsning er ganske usikkert, for å si det forsiktig. Men det er vel ett steg i rett retning? Eller 2 skritt frem og 1 tilbake?