EU-kommisjonen tillater igjen overføring av personopplysninger til USA, men personvernadvokat Max Schrems har allerede klagen mot dette klar. Det er synd at EU-kommisjonen for tredje gang handler så kortsiktig i et spørsmål som er like relevant for næringslivet som for menneskerettighetene.
“I dag vedtok EU nye regler som gjør det enkelt å overføre personopplysninger til USA.” Denne meldingen om EU-kommisjonens nye “Trans-Atlantic Data Privacy Framework” ble mandag lagt ut av Tobias Judin, sjef for internasjonal seksjon i Datatilsynet. EU-kommisjonen anser nå rettssituasjonen i USA for å være forenlig med europeiske personvernregler, slik at det ikke lenger er nødvendig med separate risikovurderinger og standardkontraktbestemmelser. Kunngjøringen kommer ikke som noen overraskelse – avtalen ble annonsert allerede i 2022 – men er likevel bekymringsfull: For bare noen uker siden minnet jeg om tiårsjubileet for Snowden-avsløringene og tok opp de amerikanske etterretningstjenestenes masseovervåking, som blant annet er legitimert i Foreign Intelligence Surveillance Act § 702. Den åpner for avlytting av ikke-amerikanske borgere uten dommer-godkjennelse.
EU-kommisjonen har allerede fattet tilsvarende “adekvansbeslutninger” med både velklingende og misvisende navn som “Safe Harbor” og “Privacy Shield”. Begge ble opphevet av EU-domstolen etter klager fra den østerrikske personvernadvokaten Max Schrems. Avgjørelsene er nå kjent som Schrems I/II-dommene.
Overfladisk ønsketenkning
Judin skriver på Datatilsynets nettsider: “[..] USA nå har endret sin etterretningslovgivning for å styrke personvernet, og de har innført bedre rettigheter for individer.” Denne redegjørelsen virker på meg som ønsketenkning og er definitivt for overfladisk for en myndighet som Datatilsynet. Max Schrems’ personvernorganisasjon “none of your business” (noyb) skriver selv på sin blogg hvordan det faktisk forholder seg: Den beryktede § 702 ble ikke rørt, og ikke-amerikanske borgere er fortsatt uten konstitusjonell beskyttelse. I stedet har president Biden oppfordret sine byråer til å gjennomføre sin masseovervåking på en “forholdsmessig” måte. Det innføres også en ny “Data Protection Review Court”, der enkeltpersoner kan prøve å klage. Schrems påpeker at USA dermed imøtekommer to av hovedkritikkene fra EU-domstolen, men tror neppe at endringene vil tilfredsstille EU-dommerne: For eksempel er det uklart hva ordet “forholdsmessig” egentlig skal bety i amerikansk kontekst. Den såkalte “Court” er heller ikke en del av det uavhengige rettsvesenet, men er i stor grad underlagt regjeringen. Domstolen erstatter den tidligere ombudspersonen, som EU-domstolen vurderte som utilstrekkelig. På toppen av det hele spesifiserer Bidens nye regler allerede ordlyden i hvordan den såkalte domstolen skal avsi sine dommer.
Klart for Schrems III
Schrems har i månedsvis forberedt et søksmål mot den nye “Trans-Atlantic Data Privacy Framework”, så vi kan være spente på om det kommer en Schrems III-avgjørelse allerede i 2024. Den største taperen innen den tid vil være den europeiske IT-bransjen: De som stoler på den nye adekvansbeslutningen kan få en stygg overraskelse med en Schrems III-dom. Samtidig vil et av de største konkurransefortrinnene til uavhengige europeiske og norske selskaper gå tapt inntil videre: privilegiet å kunne behandle data i samsvar med personvernforordningen.
En reell styrking av databeskyttelsen i USA ville ha vært mulig: På slutten av året må Foreign Intelligence Surveillance Act fornyes i USA. Her ville det vært nødvendig med en grunnleggende reform, noe vi nå ikke kan legge noe press på lenger. Det er synd at EU-kommisjonen for tredje gang handler så kortsiktig i et spørsmål som er like relevant for næringslivet som for menneskerettighetene.