Hvad sker der med databeskyttelsesaftalen mellem Storbritannien og USA?
Indholdsfortegnelse:
I 1858, da ingeniører lagde det første kommunikationskabel mellem Storbritannien og USA, var den store udfordring at presse landenes telegrafsignaler ned ad en enkelt ledning. Siden da har den offentlige og private sektor kørt tusindvis af miles af fiberoptisk kabel under Atlanten, der overfører terabit data i sekundet. I disse dage er hindringerne for transatlantisk dataudveksling ikke teknologiske – de er lovlige.
EU har to gange etableret regler om privatlivets fred, der styrer udvekslingen af data om dets borgere med USA, som også regulerede Storbritannien som EU-medlem. Efter at begge disse blev dømt ulovlige, flyttede blokken for at oprette en tredje. Tre år efter at have forladt Europa, har Storbritannien forhandlet sin egen tilstrækkelighedsaftale med USA. Hvordan går det?
Hvordan kom vi hit?
EU og USA etablerede deres Privacy Shield-aftale om datatilstrækkelighed i 2016 efter en vellykket juridisk anfægtelse af deres oprindelige Safe Harbor-aftale. Privacy Shield gjorde det muligt for amerikanske virksomheder at selvcertificere med det amerikanske handelsministerium for at modtage data fra europæiske virksomheder.
Efter at have udfordret Safe Harbour anfægtede den østrigske advokat Max Schrems igen Privacy Shield i retten, og EU-Domstolen (CJEU) gjorde det ugyldigt i juli 2020. Siden da har britiske virksomheder, der ønsker at udveksle data med USA, måttet stole på om standardkontraktbestemmelser (SCC'er). Disse aftaler mellem virksomheder giver mulighed for dataudveksling, men de kræver mere arbejde at implementere. Det har Storbritannien udskiftes SCC'er med sin internationale dataoverførselsaftale (ITDA), selvom det stadig giver folk mulighed for at bruge EU SCC'er ved at anvende et særligt UK-tillæg.
SCC'er og ITDA'er kan understøtte ad hoc bilateral dataudveksling mellem organisationer, men en standard mellemstatslig paraplyaftale ville gøre tingene lettere for virksomhederne. Så kapløbet har været i gang for at etablere et alternativ til Privacy Shield.
Udklækker en aftale mellem Storbritannien og USA
Storbritannien har arbejdet på sin egen datatilstrækkelighedsaftale med USA parallelt med EU. Det udstedte en fælles erklæring på denne plan med USA i august sidste år, bundling af grænseoverskridende datastrømme sammen med adskillige teknologiinitiativer lige fra telekommunikationsdiversitet til kvanteberegning.
UK Department for Digital, Culture, Media & Sport (DCMS) gennemgår fire faser i sine datatilstrækkelighedsvurderinger med andre lande: gatekeeping, vurdering, anbefaling og procedure. Portekeeping er, når ministeriet beslutter, om der overhovedet skal påbegyndes en tilstrækkelighedsvurdering af en nation. Under en vurdering indsamler og fortolker den data om det pågældende land baseret på en standardskabelon, inden den afgiver en anbefaling til udenrigsministeren. Sekretæren rådfører sig derefter med Information Commissioner's Office (ICO) om, hvorvidt der skal bestemmes tilstrækkelighed. Når først dette stadie er overstået, udarbejder ministeriet lovgivning i Folketinget.
DCMS tilbyder ikke en specifik dato for afslutningen af denne proces for tilstrækkelighedsaftalen mellem Storbritannien og USA, men den er nået langt. I oktober sidste år tog både EU's og Storbritanniens tilstrækkelighedsforhandlinger med USA et skridt fremad, da Det Hvide Hus udstedte en bekendtgørelse om forbedring af sikkerhedsforanstaltninger for USAs signalefterretninger. Det lovede at etablere en databeskyttelsesdomstol, der ville give britiske og EU-personer en måde at bestride enhver brug af deres data fra de amerikanske myndigheders side.
Dette glædede DCMS, som udsendte en erklæring, der roste det amerikanske tiltag og lovede at forberede tilstrækkelighedsregler for parlamentet i begyndelsen af dette år. I januar satte den britiske udenrigsminister for DCMS Michelle Donelan og amerikanske embedsmænd gang i tingene på indledende møde af US-UK Comprehensive Dialogue on Technology & Data. De to lande blev enige om at færdiggøre og implementere en databro for datastrømme fra USA og Storbritannien "i 2023".
Hvad sker der nu?
Den amerikanske tilstrækkelighedsaftale er ikke Storbritanniens eneste initiativ. Internationale datastrømme er en del af dens nationale datastrategi. Regeringen forfølger også tilstrækkelighedsaftaler med Australien, Republikken Korea, Singapore, Dubai International Financial Center og Colombia. Aftaler med Indien, Brasilien, Kenya og Indonesien er på dens to-do-liste.
Politico rapporteret at EU-US TransAtlantic Data Privacy Framework, som blev vedtaget i oktober, ville tage EU omkring seks måneder at implementere. Det betyder, at vi forventer det engang omkring næste måned. Det Forenede Kongerige er måske ved at tilpasse sine juridiske ænder, før de dropper amerikansk tilstrækkelighedslovgivning i parlamentet. Alligevel vil det forhåbentlig ikke tage meget længere tid, så det kan tilpasse sig EU's udmelding.
Indtil de ser de detaljer, kigger advokater på bekendtgørelsen for at få vejledning. Noyb.eu, den non-profit privatlivsgruppe, som Schrems grundlagde, har allerede udtrykte bekymringer om manglende beskyttelse af privatlivets fred for EU-borgere i det dokument. Organisationen har kritiseret den for at være svagere end GDPR og efterlader plads til amerikanske efterretningstjenester til at fortsætte masseovervågning. Denne kritik tyder på, at juridiske problemer for aftalen kan være forude, før den overhovedet er vedtaget.
Den britiske regering, som allerede er planlægning dets afvigelse fra GDPR med svagere databeskyttelsesregler er måske ikke så bekymret over disse problemer, men dets modstandere kan være det. Mens data tager blot millisekunder at krydse havet, tager juridiske og politiske indspil lidt længere tid.
