18.01.2019
7 min læsetid

Privacy Shield: Sådan skal datapagt beskytte dig

EU og USA har indgået en aftale, der gør det nemmere at udveksle data. Vi guider dig gennem aftalens springende punkter og potentielle faldgrupper.

af Magnus Boye

Privacy Shield er navnet på den nyeste gentleman-aftale mellem EU og USA, der skal gøre det muligt for virksomheder at sende EU-borgeres data på tværs af atlanten, selvom informationerne i udgangspunkt burde blive på europæisk jord.

De to parter har haft ualmindeligt travlt med at blive enige om den nye aftale, der blev annonceret i starten af februar. Datapagtens forgænger - den såkaldte Safe Harbour-aftale - blev nemlig underkendt af EU-domstolen sidste år. Ved den lejlighed gav EU’s datamyndigheder parterne indtil slutningen af januar til at finde en løsning.

Detaljerne ved det nye Privacy Shield er stadig uklare og vil blive nærmere specificeret over de kommende måneder. IDA Universe giver her et overblik over, hvad det nye i aftalen er, samt hvorfor kritikere stadig tvivler på, at domstolen finder den bedre end sin forgænger.

Data-ombudsmand skal tage mod europæernes klager

Hvis man som EU-borger er utilfreds med den behandling, ens data får i amerikanske hænder, har det hidtil været så godt som umuligt at sende sin klage et relevant sted hen. Den mangel skal den nye data-aftale lave om på.

Under Privacy Shield-aftalen skal amerikanske virksomheder svare på direkte klager fra europæere inden for en rimelig deadline. Men også den amerikanske datamyndighed kan blive nødt til at tage EU-klager op, hvis EU’s persondataværn videresender henvendelser fra EU-borgere. Endelig oprettes en ombudsmands-funktion, der skal varetage klager og bekymringer omkring efterretningstjenesternes adgang til persondata.

Mens de nye klagemuligheder er en signifikant forandring i forhold til den nu skrottede Safe Harbour-aftale, bemærker advokatselskabet Eversheds, at aftalen ikke nævner noget om konsekvenser, hvis aftalen brydes, eller klager ignoreres.

Kun ‘nødvendig’ overvågning

Som en del af Privacy Shield skal overvågningen af europæiske data fra sikkerhedstjenester som NSA begrænses. Amerikanerne har på skrift lovet EU-Kommissionen, at politi- og efterretningstjenester i USA ikke vil udføre såkaldt vilkårlig masseovervågning af europæernes data.

I stedet skal overvågningen være begrænset til det ‘nødvendige og proportionelle’, skriver Version2.

I enkelte tilfælde kan masseovervågning stadig finde sted, meddeler EU’s retskommissær Vera Jorouva: Hvis mere målrettet overvågning ikke er teknisk muligt, eller hvis der opdages en ‘farlig ny trend’, skriver TechCrunch.

Som en sikkerhed for at de nye begrænsninger overholdes, skal hele aftalen samt omfanget af overvågning hvert år tages op til revision, lyder det i aftalen.

Bedre databeskyttelse hos virksomheder

Hvis virksomheder skal være med i Privacy Shield-aftalen, skal de nu også underlægge sig stærke krav til, hvordan data håndteres, oplyser EU-kommissionen. Det betyder, at det amerikanske Department of Commerce skal holde robust kontrol med, at europæeres data behandles forsvarligt. Dertil kommer, at virksomheder, der arbejder med HR-data fra EU bliver underlagt beslutninger som træffes af EU’s egne datamyndigheder.

De nye tiltag skal sikre, at datapagten lever op til EU-domstolens krav. Den østrigske privacy-aktivist Max Schrems fik i november 2015 domstolens ord for, at principperne i Safe Harbour var utilstrækkelige til at sikre rettigheden til privatliv. Domstolen modsætter sig blandt andet generel masseovervågning af europæeres data - som altså ikke er helt udelukket af den nye aftale.

Kan blive underkendt endnu en gang

Den tilladte masseovervågning er en af grundene til, at kritikere af datapagten tvivler på, dels om Privacy Shield er bedre til at beskytte borgernes privatliv og desuden kan bestå endnu en omgang foran EU-domstolen.

Tvivlen er ikke blevet mindre af, at EU’s privacy råd - det såkaldte Artikel 29 Working Party - har givet sig selv indtil slutningen af marts til at gennemgå aftalen og vurdere, om den løser de problemer EU-domstolen har påpeget.

Hertil kommer, at pagten indtil nu endnu blot er en politisk aftale om at lave en egentlig aftale.

‘Enhver advokat, der er noget værd, ved, at man skal være varsom med sådanne aftaler,’ skriver advokatselskabet Eversheds.

Manden, der startede det hele med en sag mod Facebook - Max Schrems - har da også meddelt, at han er klar på endnu en runde i den juridiske slagmark, hvis ikke aftalens detaljer er tilfredsstillende.