Avtalen mellom EU og USA om utveksling av persondata ønskes ikke spesielt velkommen av personvern- og forbrukerorganisasjoner. Men de fleste avventer fortsatt mer informasjon før de vil konkludere. (Bilde: Colourbox/Sergey Nivens, montasje: digi.no)

Privacy Shield

EU og USA har kjøpt seg mer tid med Privacy Shield

Men det er betydelig skepsis til avtalen.

Lite er foreløpig kjent om den nye avtalen om datautveksling mellom Europa og USA, EU-US Privacy Shield, som skal erstatte Safe Harbour-avtalen som ble erklært ugyldig av EU-domstolen i fjor høst. Det har likevel kommet både positive og negative uttalelser som avtalen som nå er ferdigforhandlet på politisk nivå.

Som digi.no skrev i går, uttrykte Kjetil Thorvik Brun, som er fagsjef IKT i Abelia, en viss begeistring over at en avtale har kommet i havn. Men Abelia representerer bedrifter som kunne ha blitt rammet hardt dersom man ikke hadde fått til en slik avtale.

Langt større skepsis viser organisasjoner som i større grad representerer forbrukerne.

Europeiske datatilsyn

En viktig aktør i denne sammenheng er Article 29 Working Party (WP29), som har representanter fra datatilsynene i alle EU-landene. I oktober år kunngjorde organisasjonen at de nasjonale datatilsynene ville kunne innføre sanksjoner mot slike datautveksling, dersom en avtale ikke var klar innen utgangen av januar.

Avtalen ble klar noen dager på overtid, men partene har så langt kommet med svært få detaljer. Dette kan virke som et vellykket forsøk på å kjøpe seg tid, for det er på ingen måte slik at avtalen er klar til bruk ennå. WP29 kunngjorde i går at organisasjonen har bedt EU-kommisjonen om å sende over alle dokumentene knyttet til Privacy Shield innen utgangen av februar.

– Vi kan ikke bare akseptere ordene. Det er vanskelig å komme til en konklusjon når du står overfor politisk vilje, men ikke selve dokumentene, sier WP29-president Isabelle Falque-Pierrotin til EurActiv. Hun legger til at det juridiske formatet bak ordningen fortsatt er uklart for WP29.

Noen endelig beslutning fra WP29s side kan ikke ventes før rundt slutten av mars. Inntil dette skjer, vil WP29 fortsatt akseptere bruk av andre, alternative avtaler for slik datautveksling.

Svekkede rettigheter

Finn Myrstad, som er fagdirektør digitale tjenester hos Forbrukerrådet og leder av digitalkomiteen i den transatlantiske forbrukerorganisasjonen (TACD), tror heller ikke den nye avtalen sikrer europeiske forbrukere den beskyttelsen de har krav på.

Finn Myrstad, fagdirektør digitale tjenester hos Forbrukerrådet.
Finn Myrstad hos Forbrukerrådet frykter at heller ikke Privacy Shield er til det beste for europeiske forbrukere. Bilde: Forbrukerrådet
 

– Det er annonsert en avtale, som visstnok skal være mye bedre, uten at noen av detaljene er klare eller offentliggjort. Forskjellene mellom tilnærmingene på personvern og forbrukerrettigheter er veldig forskjellige mellom USA og EU. Derfor har vi og mange andre argumentert for bedre juridiske garantier for at grunnleggende rettigheter som europeiske borgere har, skal bli fulgt av amerikanske selskaper som leverer tjenester til Europa, skriver Myrstad i en e-post til digi.no.

– Erfaringene fra Safe Harbor er veldig dårlige blant annet med tanke på det ble avslørt omfattende juks i det gamle systemet med selv-sertifisering og manglende tilsyn av amerikanske myndigheter, fortsetter han.

– Ikke er basert på lovstyre

Også TACD sentralt (Trans Atlantic Consumer Dialogue) uttrykker sterk skepsis. I en kunngjøring skriver organisasjonen at kunngjøringen fra EU-kommisjonen hadde lite kjøtt på beinet, og basert på det som faktisk ble oppgitt, kan det virke som at det kanskje har blitt lagt til litt ekstra «bells and whistles» for å forbedre forbrukernes personvernbeskyttelse, men samtidig at det er store uklarheter på sentrale områder.

– Det som er sikkert er at avtalen ikke er basert på lovstyre, slik domstolen ba om i dommen, heter det i uttalelsen.

– Det amerikanske handelsdepartementet har standhaftig motsatt seg å gi amerikanerne sterke personvernrettigheter. Nå jobber det også for å svekke EUs datavern-rammeverk og fundamentale rettigheter. Dets lojalitet ligger hos den amerikanske datainnsamlingsindustrien og ikke hos forbrukere, sier Jeff Chester, den amerikanske formannen i TACD Information Society-komité, i kunngjøringen.

Hovedpersonen

Årsaken for at Safe Harbour i det hele tatt ble behandlet og erklært ugyldig av EU-domstolen, er knyttet til kampen den østerrikske jusstudenten Maximillian Schrems fører i flere europeiske land mot Facebook og selskapets datainnsamling.

Også Schrems uttrykker skepsis til den nye avtalen og antyder at EU-kommisjonen kanskje allerede bør bestille seg en tur-retur-billett til Luxembourg, hvor EU-domstolen har hjemsted.

Han uttaler blant annet at for å kunne overholde kravene i dommen angående myndighetenes generelle tilgang til europeiske persondata, kan det skje at datatilsynene i Europa vil kunne komme til å forby dataoverføring til «PRISM-selskapene» – Schrems nevner spesifikt Google, Microsoft, Facebook og Apple – til tross for avtalen.

Max Schrems med en utskrift av informasjonen Facebook hadde om ham.
Max Schrems med en utskrift av informasjonen Facebook hadde om ham. Bilde: europe-v-facebook.org
 

Schrems mener det likevel er altfor tidlig å komme med en endelig vurdering.

– Det virker som at EU har forsøkt å oppnå så mye som mulig. Dette er også første gang vi har sett noen bevegelse fra USA-siden, etter at alle brev og samtaler fra europeiske politikere i stor hovedsak har blitt ignorert, sier Schrems.

Han er ikke sikker på om den nye ordningen vil bestå testen hos EU-domstolen.

– Det vil helt klart være folk som vil utfordre dette, og avhengig av den endelige teksten kan det godt være at jeg vil være én av dem, avslutter han.

Til toppen