10. juli vedtok EU-kommisjonen et nytt juridisk rammeverk som tillater overføring av personopplysninger fra EU til USA. Dette systemet er avgjørende for aktører i den digitale økonomien, som etter at europeisk rettsvesen ble ugyldiggjort av de tidligere rammeverkene, ble møtt med juridisk usikkerhet.
De tidligere enhetene som hadde som mål å tillate overføring av data fra EU til USA, Safe Harbor og Privacy Shield, var blitt ugyldig i lys av amerikanske overvåkingslover. EU-domstolen måtte ta disse avgjørelsene etter en anke fra den østerrikske personvernaktivisten Max Schrems.
Det nye rammeverket
For å muliggjøre fri overføring av personopplysninger fra EU (så vel som fra Norge, Liechtenstein og Island) til et tredjeland, må kommisjonen forsikre seg om at beskyttelsesnivået i det landet er tilstrekkelig
Siden «Privacy Shield» ble ugyldig i 2020, har EU-kommisjonen og den amerikanske regjeringen startet diskusjoner om et nytt rammeverk som tar opp bekymringene som er reist av domstolen. I mars 2022 kunngjorde president Ursula von der Leyen og president Joe Biden at de hadde kommet til en prinsippavtale.
En Executive Order on Enhancing Safeguards for United States Signals Intelligence Activities vil i dag svare på bekymringer uttrykt av EU-domstolen i sin Schrems II-avgjørelse fra juli 2020.
Tilstrekkelighetsvedtaket av 10. juli konkluderer derfor med at “USA garanterer et tilstrekkelig beskyttelsesnivå – sammenlignbart med EU – for personopplysninger som overføres fra EU til amerikanske selskaper under det nye rammeverket.”
EU-US-rammeverket for databeskyttelse introduserer nye bindende sikkerhetstiltak, inkludert å begrense amerikansk etterretningstilgang til EU-data til det som er nødvendig og forholdsmessig, og opprette en tilsynsdomstol for databeskyttelse (Data Protection Review Court – DPRC), som unionsborgere til vil ha tilgang.
Amerikanske bedrifter kan bli med hvis de oppfyller et sett med personvernforpliktelser, inkludert sletting av personopplysninger når de ikke lenger er nødvendige og sikring av fortsatt beskyttelse ved deling. data med tredjeparter.
EU-borgere vil ha flere veier for oppreisning for misbruk av dataene deres av amerikanske selskaper.
Ursula von der Leyen sa:
«Det nye rammeverket for databeskyttelse mellom EU og USA vil sikre sikre dataflyter for europeere og gi rettssikkerhet for bedrifter på begge sider av Atlanterhavet. Etter den foreløpige avtalen jeg nådde med president Biden i fjor, implementerte USA enestående forpliktelser for å etablere det nye rammeverket. I dag tar vi et viktig skritt for å gi innbyggerne tillit til sikkerheten til deres data, for å utdype økonomiske bånd mellom EU og USA og samtidig bekrefte våre felles verdier. Det viser at ved å samarbeide kan vi takle de mest komplekse problemene».
En ny anke til EU-domstolen?
For Max Schrems, “som helhet er det nye “transatlantiske databeskyttelsesrammeverket” en kopi av Privacy Shield (av 2016), som selv var en kopi av “Safe Harbor” (av 2000)”.
Han uttaler i en kommunisert samme dag som kunngjøringen:
«Vi har allerede flere regressmuligheter i skuffene våre, men vi er lei av denne lovlige ping-pongen. Vi forventer foreløpig at domstolen vil bli tatt igjen i begynnelsen av neste år. Domstolen kan til og med suspendere den nye avtalen mens den undersøker innholdet. Av hensyn til rettssikkerheten og rettssikkerheten vil vi da vite om de små forbedringene kommisjonen har gjort var nok eller ikke. I løpet av de siste 23 årene har alle avtaler mellom EU og USA blitt erklært ugyldige med tilbakevirkende kraft, og dermed har alle dataoverføringer gjort tidligere av selskaper blitt ulovlige – det ser ut til at vi nettopp har lagt til to år til til denne bordtennisen”.
