Anslut dig till vårt nätverk!

Brexit

#PrivacyShield - Europeiska domstolen förklarar datadelningsavtalet mellan EU och USA ogiltigt

DELA MED SIG:

publicerade

on

Vi använder din registrering för att tillhandahålla innehåll på ett sätt du har samtyckt till och för att förbättra vår förståelse av dig. Du kan när som helst avsluta prenumerationen.

Max Schrems står utanför den irländska dataskyddsombudsmannens kontor

För andra gången på mindre än fem år har EU-domstolen konstaterat att ett EU/USA-avtal om datadelning inte uppfyller EU:s dataskyddsstandarder. "Safe Harbor"-avtalet slogs ner 2015 och ersattes snabbt med "Protection Shield", även detta ligger nu i spillror. 

Domstolen uteslutas att EU/USA-avtalet för att vara giltigt skulle behöva tillhandahålla skydd motsvarande de som garanteras enligt EU:s allmänna dataskyddsförordning och skydda rätten till integritet och dataskydd som är inskrivna i artiklarna 7 och 8 i EU:s stadga om grundläggande Rättigheter.

På ett mer positivt sätt fann domstolen att kommissionens beslut om standardavtalsklausuler (SCC) att överföra personuppgifter till personuppgiftsbiträden som är etablerade i tredjeländer (utanför EU) är giltigt - så länge det finns en förhandsöverenskommelse om att den korrekta nivån av skydd tillhandahålls. 

Annons

Hela problemet uppstår från inhemsk lag i USA. Schrems, den självbetitlade rättstvisten bakom domen känd som Schrems II, sa: "Domstolen klargjorde för andra gången nu att det finns en konflikt mellan EU:s integritetslagstiftning och USA:s övervakningslagstiftning. Eftersom EU inte kommer att ändra sina grundläggande rättigheter för att behaga NSA, är det enda sättet att övervinna denna konflikt att USA inför solida integritetsrättigheter för alla människor – inklusive utlänningar. Övervakningsreformen blir därmed avgörande för Silicon Valleys affärsintressen."


EU var redan förvarnat om att EU-domstolen sannolikt skulle slå ner integritetsskyddet och beslutet föregicks av tidiga diskussioner med EU:s amerikanska motsvarigheter. Kommissionens värderingar Vice ordförande Věra Jourová sade: "Både Didier och jag har varit i kontakt med USA:s handelsminister Wilbur Ross under de senaste dagarna."

Justitiekommissionär Didier Reynders tillade att han hade pratat med justitieminister William Barr i december och att han såg fram emot en konstruktiv diskussion i morgon (17 juli) med Wilbur Ross om vägen framåt.

USA:s utrikesminister Wilbur Ross sa: "Vi hoppas kunna begränsa de negativa konsekvenserna till den transatlantiska ekonomiska relationen på 7.1 biljoner dollar som är så avgörande för våra respektive medborgare, företag och regeringar. Dataflöden är viktiga inte bara för teknikföretag – utan för företag av alla storlekar inom alla sektorer. När våra ekonomier fortsätter sin återhämtning efter COVID-19 är det avgörande att företag – inklusive de 5,300 XNUMX+ nuvarande Privacy Shield-deltagarna – kan överföra data utan avbrott, i överensstämmelse med det starka skydd som Privacy Shield erbjuder.” 

I meddelandet, säger handelsdepartementet att det kommer att fortsätta att administrera Privacy Shield-programmet, inklusive bearbetning av inlämningar för självcertifiering och omcertifiering till Privacy Shield Frameworks och underhåll av Privacy Shield-listan. Men Reynders sa: "Under tiden kan transatlantiska dataflöden mellan företag fortsätta att använda andra mekanismer för internationella överföringar av personuppgifter tillgängliga enligt GDPR."

Bridget Treacy, dataintegritetspartner vid Hunton Andrews Kurth LLP baserad i London, kommenterar domen: "SCCs, som vanligtvis används för överföringar runt om i världen, kommer att bli föremål för mycket närmare granskning av dataexportörer och av EU:s tillsynsmyndigheter. Överföringar av personuppgifter från EU till USA kommer att kräva särskild försiktighet med tanke på domstolens kommentarer om USA:s övervakning. Men alla överföringar av personuppgifter från EU, oavsett om det är till USA eller någon annanstans (inklusive Storbritannien efter 1 januari 2021) kommer nu att kräva mycket närmare granskning.”

David Dumont, dataintegritetspartner på Hunton Andrews Kurth LLP baserad i Bryssel sa: "Företag som förlitar sig på SCC kommer att behöva utvärdera varje dataöverföringsmottagare för att avgöra om mottagaren erbjuder en adekvat skyddsnivå. Det kommer att innebära att bedöma vilken typ av personuppgifter som överförs, hur de kommer att behandlas, om de kan bli föremål för åtkomst av statliga myndigheter för övervakningsändamål och i så fall vilka skyddsåtgärder som finns tillgängliga. Om en mottagare inte kan tillhandahålla en adekvat skyddsnivå, måste EU-företag avbryta dessa dataöverföringar, i annat fall kan en tillsynsmyndighet göra det. Brådskande vägledning kommer att krävas från dataskyddstillsynsmyndigheter om vilken praktisk nivå av granskning de förväntar sig av företag som förlitar sig på SCC.

Brexit

Eftersom Storbritannien lämnar EU i slutet av året kommer det att behöva begära ett avtal om datatillräcklighet. Storbritanniens massövervakning, körs genom deras underrättelsetjänst (GCHQ) och avslöjas av Edward Snowden, visade hur Storbritannien trålade igenom data från miljontals privata kommunikationer och delade sina resultat med US National Security Agency, såväl som andra länders underrättelsetjänster. Europeiska domstolen för de mänskliga rättigheterna beslutade att denna övervakning var olaglig. Med tanke på Storbritanniens resultat kommer Europaparlamentet sannolikt att utkräva starka försäkringar om alla dataskyddsavtal. 

Treacy sa: "Utslaget om Privacy Shield kommer sannolikt att få konsekvenser för Storbritanniens förhoppningar om ett beslut om adekvat dataskydd efter Brexit från Europeiska kommissionen. Storbritannien kan förvänta sig att dess övervakningslagar kommer att bli föremål för liknande granskning som de i USA, för att bedöma om de respekterar EU-medborgarnas integritetsrättigheter."

Dumont sa: "De flesta EU-företag planerar att förlita sig på SCC för att överföra personuppgifter till Storbritannien när övergångsperioden för Brexit tar slut. Denna dom signalerar att SCC:s mekanism kommer att bli föremål för mycket större granskning och att EU:s dataskyddsmyndigheter kommer att förväntas vara mer proaktiva när det gäller att upprätthålla dessa krav och avbryta överföringar om det behövs.”

Bakgrund

Intervju med Sophie Int'Veld från 2016

Intervju med Max Schrems 2018

Dela den här artikeln:

EU Reporter publicerar artiklar från en mängd olika externa källor som uttrycker ett brett spektrum av synpunkter. De ståndpunkter som tas i dessa artiklar är inte nödvändigtvis EU Reporters.

Trend