I juli 2020 opphevet EU-domstolen overføringsgrunnlaget Privacy Shield. Dommen medførte i all vesentlighet et forbud mot overføring av personopplysninger mellom EU/EØS og USA. Den 25. mars 2022 avholdt EU-kommisjonens leder og president Joe Biden en pressekonferanse hvor den nye ordningen ble presentert. Ordningens tekst er foreløpig ikke ført i pennen, men i denne artikkelen ser vi nærmere på noe av det som allerede har blitt kjent.
Bakgrunnsteppet – Overføring av personopplysninger krever overføringsgrunnlag
Utgangspunktet i europeisk personvernrett er at overføring av europeiske personopplysninger ut av EU/EØS kun er tillatt under visse strenge forutsetninger. Dette har sin bakgrunn i at det er nødvendig å stille krav til selve overføringen for å sikre at europeiske personopplysninger beskyttes også etter at de er sendt ut av EU/EØS, og på den måten forhindre at GDPR omgås gjennom å overføre personopplysninger for eksempel til en annen jurisdiksjon.
Like fullt er overføring av europeiske personopplysninger ut av EU/EØS helt uunngåelig, og tvert i mot nødvendig. Overføring ut av EU/EØS til en stat utenfor EU – en såkalt tredjestat – er derfor tillatt når EU-kommisjonen har fastslått at tredjestaten «sikrer et tilstrekkelig beskyttelsesnivå». Det er dette beskyttelsesnivå Privacy Shield var ment å sikre gjennom at amerikanske selskaper kunne sertifisere seg som et Privacy Shield-foretak og gjennom denne sertifisering garantere at foretaket etterfulgte kravene i GDPR. Erfaring viste imidlertid at amerikanske selskaper i praksis ikke klarte å overholde prinsippene i GDPR idet disse foretakene var underlagt amerikansk overvåkingslovgivning som hadde forrang over Privacy Shield. Privacy Shield som overføringsgrunnlag ble dermed kjent ugyldig.
To år senere har man nå tilsynelatende kommet opp med en løsning som skal erstatte, og formentlig også være en forbedring av, Privacy Shield-rammeverket; Trans-Atlantic Data Privacy Framework.
Amerikansk overvåking – en deal breaker nok en gang
Hovedårsakene til underkjennelsen av Privacy Shield var altså i sin tid amerikansk overvåkingslovgivning som ga amerikanske myndigheter uspesifiserte og svært vide hjemler til å overvåke personopplysninger om EU-borgere, særlig gjennom PPD-28 og FISA 702. De fleste pliktene i den nye ordningen vil derfor påhvile USA.
USA har dermed nok en gang forpliktet seg til å implementere en rekke tiltak (såkalte «binding safeguards») for å sikre at amerikanske overvåkingsmyndigheter vil begrense sin overvåking. Blant annet må USA kunne gi garantier om begrenset utlevering av europeiske personopplysninger, og at slik utlevering vil være proporsjonalt.
Nødvendighet og proporsjonalitet er på mange måter grunnmuren i europeisk personvernrett, og har så langt ikke vist seg å være forenlig med amerikansk overvåkingslovgivning. Samtidig er det ingen tegn eller indikasjoner på at PPD-28 og FISA 702 skal avvikles før den nye ordningen er på plass. Da er det kanskje betimelig å spørre seg hva USA har tenkt å gjøre annerledes denne gangen?
Forbedret klageadgang
EU-borgere skal gjennom den nye ordningen gis flere muligheter til å klage på USAs behandling av europeiske personopplysninger. Så vidt oss bekjent innebærer den utvidede klageadgangen en flerinstansordning, hvor behandlingen altså kan overprøves i ulike instanser, hvorav USA skal opprette en ny domstol kalt Data Protection Review Court. Domstolen skal ha full beslutningsmyndighet til å overprøve krav og pålegge tiltak knyttet til overvåkingen.
Vi legger til grunn at EU ikke har glemt at amerikansk overvåkingslovgivning med hjemmel i FISA 702 er konfidensiell og regnes som klassifisert informasjon og uten mulighet for overprøving av andre enn FISC-domstolen. Avgjørelser fra FISC-domstolen er på samme måte regnet som klassifisert informasjon og unntatt offentligheten. Også her kan man kanskje spørre seg om USA har tenkt til å endre denne praksis, eller om EU anser slik domstolskontroll som forenlig med de europeiske personvernprinsipper. Hvordan tenker man seg kompetansen og myndigheten til FISC-domstolen og Data Protection Review Court fordelt?
Hva vil skje fremover?
Den nye ordningen er foreløpig kun annonsert som en politisk announcement, og selve rammeverket og USAs forpliktelser er ikke nedfelt – i hvert fall ikke i noe juridisk bindende dokument. Et endelig juridisk rammeverk vil måtte gjennomgås, men ikke godkjennes, av the European Data Protection Board (EDPB), og en endelig adekvansbeslutning fra EU-kommisjonen vil deretter kunne ta flere måneder. Vi kan med andre ord ikke forvente et nytt overføringsgrunnlag mellom EU og USA med det første, og norske foretak må fortsatt benytte seg av EUs standardavtaler som overføringsgrunnlag. Her kan du lese vår artikkel om de reviderte standardavtalene, som nå blant annet inneholder egne «Schrems II-krav».
Personvernaktivisten Maximillian Schrems og organisasjonen NOYB har varslet en nøye gjennomgang av det som vil bli ordningens juridiske rammeverk. Schrems var svært delaktig i opphevelsen av både Safe Harbor og Privacy Shield – mon tro om vi ikke vil få Schrems III-dommen om et par år?