Safe Harbor-gennemgang betyder business as usual – for nu

September var en skelsættende måned for virksomheder i Europa, der ønskede at dele data med USA. Den Europæiske Unions Ret afviste en indsigelse mod en privatlivsramme mellem de to lande. Det betyder, at amerikanske organisationer fortsat kan importere personoplysninger fra EU.

Udfordringen mod EU-US Data Privacy Framework (DPF) kom fra det franske parlamentsmedlem Philippe Latombe. Han var utilfreds med detaljerne i rammen, som giver tusindvis af amerikanske virksomheder en juridisk vej til at overføre EU-personoplysninger. Han havde anfægtet en EU-beslutning om at tillade DPF at fungere af to grunde.

For det første hævdede han, at den amerikanske domstol til gennemgang af databeskyttelse (DPRC) ikke var uafhængig eller upartisk. Denne domstol, der er pålagt mandat i henhold til rammeaftalen, er et amerikansk-drevet organ, der gennemgår klager fra EU-borgere over behandlingen af ​​deres data. Han klagede også over, at de amerikanske efterretningstjenesters indsamling af massedata uden forudgående godkendelse fra domstolen overtrådte EU's charter om grundlæggende rettigheder.

Det var ikke første gang, at EU har stået over for udfordringer af rammer for privatlivets fred. Advokat Max Schrems havde allerede tidligere anfægtet to forsøg på ækvivalensrammer mellem EU og USA.

Schrems indgav sin første klage i 2013, hvor han anfægtede Facebooks amerikanske dataoverførsler under Safe Harbor, på baggrund af Edward Snowdens afsløringer om NSA-overvågning. Schrems I-dommen fra oktober 2015 ugyldiggjorde Safe Harbor fuldstændigt og fastslog, at amerikanske overvågningslove tillod indblanding ud over, hvad der var "strengt nødvendigt".

EU og USA forsøgte igen med Privacy Shield, som erstattede Safe Harbor i 2016, men Schrems udfordrede straks både den nye ramme og standardkontraktbestemmelserne med den begrundelse, at de underliggende amerikanske overvågningsmyndigheder forblev uændrede. Schrems II-afgørelsen fra juli 2020 ugyldiggjorde Privacy Shield, mens den opretholdt standardkontraktbestemmelser (SCC'er), som er EU-aftaler, som organisationer kan bruge til at godkende dataoverførsler. Disse kræver konsekvensanalyser af overførsler (TIA'er), der kræver, at virksomheder udfører deres egen due diligence for at vurdere, om EU-data vil blive beskyttet i destinationslandet.

Manglende overbevisning af retten

Hvis Latombe havde haft held med sin oprindelige udfordring, ville det have kastet virksomheder tilbage i den besværlige verden af ​​standardkontraktbureauer. Retten var dog uenig med ham. Dommere kan kun udpeges til retten af ​​justitsministeren, argumenterede den og fastslog, at dette passede med definitionen af ​​uafhængighed. Den tilføjede også, at store domstole ikke kræver forhåndsgodkendelse til store indsamlinger under Schrems II. I stedet sagde den, ex post (efterfølgende) autorisation er tilstrækkelig. DPRC giver allerede den mulighed.

Alt dette peger på, at beskyttelsen i henhold til amerikansk lov "i det væsentlige svarer til" beskyttelsen i henhold til europæisk lov, ifølge kendelsen. EU-Domstolens meddelelse.

Det er ikke slut, før det er slut

Så hvad betyder dette for status quo? Overfladisk set tyder det på, at amerikanske virksomheder kan fortsætte med at overføre EU-borgeres data dertil ustraffet. Men glem ikke lovbøgerne endnu; der er allerede yderligere juridiske udfordringer undervejs, der tyder på, at dette ikke er slut.

NOYB (Schrems' organisation, som står for "None Of Your Business") argumenterer for, at DPF blot ompakker de samme overvågningsbeføjelser, som EU-Domstolen to gange har afvist. "Beskyttelsen i henhold til den nye aftale er næsten 1:1 en kopi/indsæt af de tidligere aftaler, som EU-Domstolen fandt ulovlige i Schrems I og Schrems II," sagde de. "På nogle elementer er beskyttelsen endnu værre end i den ældre bekendtgørelse, som ikke var tilstrækkelig for EU-Domstolen. Det er derfor overraskende, at Retten ville afsige en anden afgørelse om den 3. version af EU-USA-aftalen sammenlignet med de to foregående versioner."

Latombe kan nu appellere, og fristen er midt i november i år. Da privatlivsforkæmpere kritiserer kendelsen, er det sandsynligt, at DPF vil stå over for yderligere angreb.

Med dette i tankerne gør organisationer klogt i at anvende en lagdelt tilgang til dataoverførsel som den mest juridisk robuste strategi, siger advokater. Bindende virksomhedsregler (BCR'er) spiller også en rolle her. Det er aftaler, som virksomheder indgår med tilsynsmyndigheder om at overføre data inden for deres egne kontorer på tværs af landegrænser.

"For nuværende er DPF fortsat en gyldig og strømlinet vej til overførsel af personoplysninger fra EU til USA." forklarer Advokatfirmaet Clifford Chance. "Byg omkring det, hold SCC/BCR-håndbøger klar, opdater konsekvensanalyser for overførsler (med henvisning til EO 14086 og DPRC, hvor det er relevant), og overvåg både appel- og det amerikanske tilsynslandskab," rådede virksomheden.

I 2021 oprettede Det Europæiske Databeskyttelsesråd (EDPB) også udgivet vejledning om, hvad dataeksportører kan gøre for at opretholde EU's databeskyttelse, når de eksporterer data til andre lande. Dette dokument råder eksportører til fuldt ud at dokumentere deres dataoverførsler og til at verificere det overførselsværktøj, de bruger i henhold til artikel 46 i GDPR. Udover SVCP'er og BCR'er omfatter andre sådanne værktøjer adfærdskodekser, certificeringsmekanismer og ad hoc-kontraktbestemmelser. De bør også vurdere lovgivningen i destinationslandet, hvis der ikke er en tilstrækkelighedsaftale på plads. Det rådgiver også om supplerende foranstaltninger, såsom kryptering af dataene, med nøgler, der opbevares i EU.

Så det er business as usual for nu, men ansvaret for risikostyring kræver en backupplan. Med en kaotisk regering mod vest og faren for yderligere juridiske udfordringer i Europa bør virksomheder ikke udelukkende stole på DPF.