Står det til EU-parlamentets borgerrettighedsudvalg, skal det nye EU-US data privacy framework ikke vedtages. Det fremgår af en udtalelse fra udvalget, som er blevet udsendt i denne uge.
Bag den knap så mundrette titel på aftalen, gemmer sig den tilstrækkelighedsvurdering, som kan afgøre, om EU-virksomheder og organisationer kan benytte sig af amerikansk cloud-teknologi som Microsoft, Google og AWS med ro i sindet.
Udkastet til aftalen blev publiceret under stor bevågenhed i slutningen af 2022, og er ivrigt imødeset af mange af dem, som har fået fingrene i klemme på grund af brugen af amerikansk cloud. Men ifølge borgerrettighedsudvalget er arbejdet ikke gjort godt nok. Udvalget, som er ledet af den spanske EU-parlamentariker og juraprofessor Juan Fernando Lopez Aguilar, opfordrer til at kommissionen dropper aftalen og i stedet sætter sig til forhandlingsbordet igen.
Udvalget for Borgernes Rettigheder og Retlig og Indre Anliggender er blandt de parlamentsudvalg, som behandler mest lovgivning.
»Udvalget konkluderer, at EU-US data privacy frameworket ikke formår at etablere en faktisk lighed i niveauet af beskyttelse,« lyder det i udtalelsen fra gruppen.
I samme åndedrag henviser man fra udvalget til, at parlamentet tidligere har ‘anmodet kommissionen om ikke at vedtage en ny tilstrækkelighedsvurdering af USA, medmindre meningsfulde reformer blev introduceret, særligt i forhold til national sikkerhed og efterretningsformål’.
Den slags ændringer mener parlamentet med andre ord ikke har fundet sted.
Udtalelsen kommer kort tid før, at Det Europæiske Databeskyttelsesråd (EDPB) skal komme med en vurdering af kommissionens forslag til den nye dataaftale. Overfor Version2 oplyser EDPB, at man regner med at være klar med en vurdering inden udgangen af februar.
Hvor er solnedgangsklausulen?
Hos borgerrettighedsudvalget anerkender man, at der fra USA's side er blevet gjort et seriøst stykke arbejde i forhold til at imødekomme EU’s bekymringer i det præsidentielle dekret, som ligger til grund for kommissionens nye tilstrækkelighedsvurdering. Navnlig i forhold til at begrænse, hvad amerikanske efterretningstjenesters må gøre med EU-borgeres persondata.
Udvalget har ikke desto mindre stadig en lang række anker i forhold til definitionerne i det præsidentielle dekret.
Blandt andet påpeger medlemmerne i udvalget, at fortolkningen af proportionalitet og nødvendighed ikke stemmer overens med definitionen under EU lovgivning og den måde, som EU-domstolen fortolker dem på.
Det samme har Max Schrems tidligere advaret om. Han er privacy-aktivist og grundlægger af organisationen ‘None of Your Business’, og han står også bag Schrems II-sagen fra 2020, der fik EU-Domstolen til at ugyldiggøre den tidligere data-aftale med USA. Han har allerede meldt ud, at han vil udfordre den nye aftale ved domstolen.
Udvalget lægger også vægt på, at listen over legitime nationale sikkerhedsmål kan blive udvidet af den amerikanske præsident, som ikke behøver at gøre ændringerne offentligt kendte.
Samtidig mener udvalget, at den retslige proces under USA’s Data Protection Review Court er for uigennemsigtig.
Udvalget ønsker derfor, at der bliver indført en solnedgangsklausul, som vil sørge for, at beslutningen automatisk vil udløbe efter en fire år lang tidsramme.
»(Vi) understreger, at tilstrækkelighedsvurderinger skal inkluderer klare og stringente mekanismer til monitorering og behandling for at sørge for, at vurderingerne er fremtidssikret og EU-borgernes fundamentale ret til databeskyttelse er garanteret,« skriver udvalget.
Urimeligt over for virksomhederne
I modsætning til EDPB er EU-Parlamentet ikke forpligtet til at komme med en udtalelse om tilstrækkelighedsvurderingen.
Udover hensynet til borgerrettighederne, lægger udvalget i udtalelsen vægt på hensynet til de mange virksomheder, som for øjeblikket ikke ved, om de er købt eller solgt i forhold til brug af amerikanske cloud-tjenester.
»Den fortsatte usikkerhed og nødvendigheden for at tilpasse sig til nye juridiske løsninger er særligt besværlige for mikro-, små- og mellemstore virksomheder,« lyder det i udtalelsen, der fremhæver, at det skaber ekstra omkostninger at tilpasse sig de gentagne ændringer.
»Europæiske virksomheder har brug for og fortjener juridisk sikkerhed,« skriver udvalget.
Version2 byder endnu engang it-ansvarlige og -specialister velkommen til to spændende dage i København med 100 seminarer og mere end 3.000 deltagere, der mødes for at blive opdateret på den nyeste viden om it-sikkerhed, cloudløsninger og compliance.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
