EU's privacy-vagthund: Borgernes private data beskyttes for dårligt i ny USA-EU-aftale

For stor åbning for rutineundersøgelse af amerikanske myndigheder af vores persondata og for dårlige sikkerhedsforanstaltninger. Sådan lyder kritikken fra den uafhængige privacy-vagthund i EU, EDPS, af Privacy-Shield.

Der er brug for 'markante forbedringer' af aftalen om overførsel af europæiske borgeres persondata, som EU-Kommissionen og U.S. Department of Commerce indgik i slutningen af februar.

Den kritiske udtalelse kommer fra Den Europæiske Tilsynsførende for Databeskyttelse (EDPS), som blev oprettet som uafhængig instans i 2004 for at sikre, at EU-institutionerne og -organerne respekterer borgernes ret til privatliv i forbindelse med behandling af personoplysninger.

Privacy Shield stiller krav til de berørte selskaber i USA om at beskytte europæiske borgeres personoplysninger, når de overføres til USA.

Hertil kommer øget håndhævelse af disse krav fra det amerikanske handelsministerium og Federal Trade Commission (FTC ) samt et øget samarbejde med de europæiske databeskyttelsesmyndigheder.

Men det er ikke godt nok, vurderer EDPS

»Udkastet Privacy Shield kan være et skridt i den rigtige retning, men som aftalen er formuleret, omfatter den efter vores opfattelse ikke i tilstrækkelig grad de sikkerhedsforanstaltninger, som er nødvendige for at beskytte den enkeltes ret til privatlivets fred og databeskyttelse,« skriver EDPS.

Privacy Shield skulle ellers fungere som et nyt grundlag for dataoverførsel, efter at EU-Domstolen i efteråret fandt, at den 15 år gamle aftale om dataoverførsel, Safe Harbor, ikke giver en tilstrækkelig beskyttelse for behandling af personoplysninger i USA og derfor er ugyldig.

Kritikken af ny aftale vælter frem

Det er langtfra første gang, at privacy-myndighederne vender tommelfingeren nedad over for Privacy Shield.

I midten af april udtalte Artikel 29-gruppen, som rådgiver unionen om databeskyttelse, at Privacy Shield ganske vist giver ‘signifikante forbedringer’ i forhold til forgængeren, men det er stadig ikke godt nok.

Læs også: EU’s datatilsyn rynker pande: Privacy Shield udelukker ikke masseovervågning

Og i sidste uge fastslog Europa-Parlamentet i en resolution, at Privacy Shield har brug for substantielle forbedringer.

Læs også: Europa-Parlamentet dumper Privacy Shield: Brug for substantielle forbedringer

Og nu altså EDPS, som videre udtaler:

»EU især bør stille krav til de amerikanske myndigheder om yderligere forsikringer i form af dokumentation for nødvendighed og proportionalitet for deres adgang til de europæiske data - i stedet for at legitimere rutinemæssig adgang på grundlag af kriterier, der har hjemmel i modtagerlandet, men som der ikke kan findes hjemmel for i EU's traktater, EU-afgørelser og fælles forfatningsmæssige traditioner.«

Vagthunden frygter altså, at Privacy Shield - i modsætning til Safe Harbor - åbner op for en mere rutinepræget amerikansk undersøgelse eller overvågning af vores data, uanset at der er mere styr på kontrollen med USAs myndigheder.

Derfor understreger EDPS, at snagen fra efterretningsmyndigheder i vores persondata kun må foregå helt undtagelsesvis og kun når det er uundgåeligt i forhold til at beskytte offentlighedens interesser.

Enheden understreger også, at selvregulering og forpligtelser til den enkelte offentlige ansatte i USA ikke er nok til at beskytte borgernes rettigheder.

Organisationen understreger også, at EU er forpligtet til at træffe alle nødvendige foranstaltninger for at sikre retten til privatlivets fred og beskyttelse af personoplysninger i alle typer databehandlinger, herunder overførsler.

Læs hele udtalelsen Opinion on the EU-U.S. Privacy Shield draft adequacy decision her

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (2)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
René Nielsen

Er det ikke lettere helt at forbyde at europæiske data forlader eller opbevares udenfor EU?

Giv en frist på f.eks. 6 måneder og derpå må ingen data om EU-borgere flyttes eller opbevares udenfor EU – uanset årsag. Fængselsstraf til bestyrelser og gigantbøder til virksomhederne.

Globale virksomheder har alligevel datacentre over hele kloden og EU har en sådan størrelse at det ikke betyder noget økonomisk at skulle have data placeret i EU.

Udover at data skal opbevares i EU skal databehandleren i juridisk henseende være helt uafhængig af f.eks. et amerikansk modselskab - således at et hemmelig pålæg om overvågning fra USA ikke kan udføres i datterselskabet.

  • 9
  • 1
Log ind eller Opret konto for at kommentere
IT Company Rank
maximize minimize