Privacy Shield avskaffad - slut(?) på dataöverföringar till USA

EU domstolen dömde den 16 juli att överföringen av EU-medborgares personuppgifter till amerikanska servrar strider mot EUs stadga om de grundläggande rättigheterna samt GDPR, eftersom den omfattande amerikanska massövervakningen inte respekterar européers rättigheter. Domen gäller såklart även för andra länder – till exempel Kina, som också har omfattande massövervakningsprogram – och kräver att företag som vill överföra européers personuppgifter till länder utanför unionen, måste se till att informationen hanteras enligt europeisk lag.

”It is clear that the US will have to seriously change their surveillance laws, if US companies want to continue to play a major role on the EU market. This judgment is not the cause of a limit to data transfers, but the consequence of US surveillance laws.”

Max Schrems

Tidigare har den här typen av dataöverföringar mellan EU och USA varit reglerade under det så kallade Privacy Shield-avtalet, men rätten beslutade att detta ramverk inte gav tillräckliga skydd för EU-medborgares privatliv och därmed ogilltigförklade domstolen hela avtalet. Nu måste amerikanska företag använda så kallade Standard Contractual Clauses (SCC) för att reglera överföringen av europeiska personuppgifter till USA och se till att dessa avtal också i praktiken efterföljs. En uppgift som torde vara omöjlig, så länge inte alla uppgifter är krypterade och låsta även för den som lagrar dem, om inte USA ändrar sitt globala massövervakningsprogram.

Den myndighet som bedömer huruvida sådana SCC efterföljs blir den lokala dataskyddsmyndigheten – i Facebooks och många andra nätjättars fall Irlands. Ifall myndigheten väljer att blunda för EU-domstolens resonemang kring amerikansk massövervakning och fortsätter hantera övervakningsföretag med silkesvantar, då kan det bli så att överföringarna av personuppgifter till USA fortsätter tills deras beslut överklagats.

The Court is not only telling the Irish DPC to do its job after seven years of inaction, but also telling all European DPAs that they have a duty to take action and cannot just look the other way. This is a fundamental shift going far beyond EU-US data transfers. Authorities like the Irish DPC have so far undermined the success of the GDPR by simply not processing complaints. The Court has clearly told the DPAs to get going and enforce the law.”

Max Schrems

Domen är resultatet av att rättighetsaktivisten Max Schrems och organisationen noyb har stämt Facebook via det irländska rättssystemet, där Facebook har sitt europeiska huvudkontor, samt varifrån de överfört data mellan EU och USA. Schrems har tidigare stämt Facebook efter Snowdens avslöjanden om amerikansk massövervakning och hur Facebook samarbetat med NSA.

Piratpartiet: En vinst för EU-medborgares privatliv

Vice-partiordförande för European Pirate Party och EU-parlamentarikern Markéta Gregorová beskrev domen på sin blogg som ”en vinst för EU-medbogares privatliv” och ”en stor triumf” för alla EU-medborgare, tack vare EU-domstolens försvar av våra grundläggande rättigheter. Vidare tackade hon Schrems och noyb för att ha lett denna rättsprocess.

EU-parlamentarikern Patrick Breyer välkomnande också domslutet och uppmanade EU-kommisionen att ”inte åsidosätta grundläggande europeiska värderingar genom att böja sig för den amerikanska regeringen och [IT-]företagslobbyn”. Han tog även tillfället i akt att påminna om den framtida europeiska lagstiftningen Digital Services Act, som skulle kunna öppna möjligheter att stärka skyddet för medborgares data och förhindra att den datan används till att bl.a manipulera medborgares beteendemönster.

”Today’s ruling is a victory for the protection of our privacy and the confidentiality of our communications and Internet use. The US mass surveillance programmes revealed by Edward Snowden have been dismissed as disproportionate encroachments on our fundamental rights, because affected citizens from Europe have no enforceable rights. This means that there can no longer be any transfer of our data to the USA without our consent, not even on the basis of the so-called standard contractual clauses, which do not change anything about the mass surveillance programmes. It is now up to the data protection authorities to stop the transfer of our personal data to the US.

After the end of the useless ‘Privacy Shield’, the EU Commission must not again betray fundamental European values and bow to the US government and the business lobby. It is called upon to finally demand a no spy agreement with the US to outlaw mass surveillance and to ensure that people who have done nothing wrong are not permanently logged and monitored. There can be no free society where everybody is subject to permanent surveillance.”

Patrick Breyer, tysk EU-parlamentariker för Piratpartiet

Läs mer hos noyb, TechCrunch, EDRi, Patrick Breyer, Ars Technica, EFF och Marketa Gregorova.