EU’s datatilsyn rynker pande: Privacy Shield udelukker ikke masseovervågning

EU’s privacy-vagthund giver Safe Harbour-erstatning en lunken modtagelse. Masseindsamling af vilkårlige personoplysninger er ikke udelukket, lyder vurderingen.

EU og USA i starten af året blev enige om den såkaldte Privacy Shield-aftale, der skal gøre det muligt for virksomheder, at udveksle data over Atlanten, selv om EU-privacyregler i udgangspunktet forbyder det.

Siden da har den såkaldte Artikel 29-gruppe, som rådgiver unionen om databeskyttelse, trævlet gennem aftalens sider for at afgøre, om Privacy Shield virkelig er bedre end forgængeren Safe Harbour, der nåede at eksistere i 15 år før den sidste år blev erklæret ulovlig af EU-domstolen.

Læs også: EU giver sig selv og USA tre måneder til at finde løsning på ‘Safe Harbour-dommen’

Den overordnede dom fra gruppen, der rummer samtlige europæiske datatilsyn, er positiv. Aftalen byder ifølge rådet på ‘signifikante forbedringer’ i forhold til forgængeren, skriver rådet. Men det er stadig ikke godt nok, lyder vurderingen.

Først og fremmest mangler den nye rammeaftale bestemmelser for, hvornår data skal slettes. Der står ikke, at data skal slettes, så snart de har tjent det formål, de var indsamlet for. På det punkt giver aftalen dårlige databeskyttelse end de tilsvarende regler for databehandlere i Europa, skriver gruppen i sin kommentar.

Læs også: Erhvervsliv jubler over ny datapagt mellem USA og EU

En anden bekymring går på de undtagelser, som aftalen har indbygget under paraplybegrebet ‘nationens sikkerhed’, som tillader ordensmagten at opsnappe data fra europæere. Artikel 29-gruppen konstaterer, at aftalens formuleringer ikke udelukker, at der sker ‘massiv og vilkårlig indsamling af persondata som stammer fra EU,’

Den type overvågning ‘kan aldrig betragtes som proportionel eller strengt nødvendig i et demokrati,’ skriver gruppen.

Læs også: Safe Harbor-afløser strammer reglerne for amerikansk dataopbevaring

En af nyskabelserne i Privacy Shield-aftalen er, at USA udpeger en ombudsmand, som europæere kan kontakte,hvis man har problemer med en dataafgørelse. Og selvom idéen er god, så er Artikel 29-gruppen bekymret over, at personen hverken er tilstrækkelig uafhængig eller har vidde nok beføjelser til at gøre en forskel.

Privacy-gruppens holdning er udelukkende vejledende. Det er nu op til Kommissionen at afgøre, hvad man kan gøre ved gruppens bekymringer, skriver Datatilsynet i en redegørelse.

Kom gratis med til Danmarks største IT-sikkerhedsevent!

Infosecurity, Europas mest populære IT-sikkerhedsevent, afholdes for første gang i Danmark den 3. og 4. maj 2016. 50 udstillere, 5 konferencesale og mere end 60 seminarer og caseoplæg fra ind- og udland. Læs mere her.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (0)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Log ind eller Opret konto for at kommentere