Gæstebloggen

Menneskerettighederne negligeres med Privacy Shield-ordningen

I 2015 traf EU-Domstolen afgørelse om at ugyldiggøre den daværende Safe Harbor-ordning, der lagde rammerne for lovlige persondataoverførsler mellem EU-lande og USA.

Domstolen mente ikke længere, at der var grundlag for at betragte USA som et sikkert tredjeland.

Man begrundede særligt sin afgørelse med henvisning til whistlebloweren Edward Snowdens afsløringer af den massive og vilkårlige overvågning af europæiske borgere, som med hjemmel i amerikansk lovgivning blev udført af den amerikanske efterretningstjeneste (NSA).

Retten til privatliv – EU Charteret artikel 7 og EMRK artikel 8

Safe Harbor tillod, at man kunne begrænse de registreredes rettigheder i USA, hvis dette skete af hensyn til legitime interesser, herunder statens sikkerhed – og det var denne meget brede undtagelsesbestemmelse, der gav mulighed for, at NSA med deres PRISM-program kunne få adgang til europæiske borgeres data og foretage vilkårlig masseovervågning.

Overvågning kan i visse tilfælde være et legitimt indgreb i privatliv, men Domstolen betragtede NSA’s overvågning som et uproportionelt indgreb i retten til privatliv, og at ordningen derfor var uforeneligt med EU-charterets artikel 7.

Amerikansk lovgivning var således grundlag for underkendelsen af Safe Harbor, men ikke det helt store lod sig til at være ændret ved den amerikanske lovgivning på det tidspunkt man vedtog Privacy Shield kort tid efter Safe Harbor-dommen.

Dette må siges at være Privacy Shields svaghed, når det gælder privatlivsbeskyttelse – nemlig den amerikanske lovgivning, og at den blev vedtaget så hurtigt, efter Safe Harbor blev ugyldiggjort.

Der lader dog ikke til at være så meget, EU kan gøre på lige netop dette område. Ændringer må derimod komme fra USA selv, nærmere bestemt det amerikanske forretningsliv, der selv har en interesse i, at Privacy Shield opretholdes.

Dette kan ske ved, at virksomhederne i Silicon Valley gennem lobbyarbejder presser de amerikanske lovgivere til en ændret lovgivning, der i højere grad respekterer privatlivet og databeskyttelsen for ikke bare amerikanske borgere, men også europæere.

Ud fra retspraksis behandling af de processuelle retsgarantier, såsom retten til at blive hørt og oplyst, der er indeholdt i privatlivsbeskyttelsen i den europæiske menneskerettighedskonvention (EMRK) artikel 8 og EU charterets artikel 7, kan EU-kommissionen ikke løbe fra, at disse processuelle rettigheder er en vigtig del af privatlivsbeskyttelsen.

De processuelle rettigheder i retten til privatliv må derfor have særligt fokus i forbindelse med EU-Kommissionens revidering af Privacy Shield.

Konklusionerne på den første revidering blev offentliggjort i oktober 2017, men her valgte EU-Kommissionen at opretholde ordningen uden at kommentere på spørgsmålet om, hvorvidt de registrerede nyder en tilstrækkelig privatlivsbeskyttelse. I stedet opfordrede man amerikanske lovgivere til at gøre mere for at forhindre at uproportionelle indgreb i europæiske borgeres privatliv gennem overvågning.

EU-Kommissionen har således den holdning, at Privacy Shields svagheder ikke skyldes ordningens indhold, men derimod forholdene i USA.

Der må dog siges at være visse indholdsmæssige mangler ved Privacy Shield, som ikke fuldt ud sikrer de registreredes rettigheder på samme måde, som man er sikret i databeskyttelsesforordningen (GDPR).

Fx indeholder Privacy Shield – modsat GDPR – ikke en oplysningspligt over for de registrerede ved indirekte indsamlinger, men kun for direkte indsamlinger. Derudover er der – også modsat GDPR – ikke en underretningspligt over for den registrerede ved sikkerhedsbrud.

Disse mangler gør Privacy Shield utvivlsomt uforeneligt med GDPR's hensyn til større transparens i de tilfælde, hvor den amerikanske virksomhed er dataansvarlig og ikke databehandler for en europæisk forretning.

Et andet kritikpunkt til Privacy Shield er, at ordningen ikke stiller krav om, at den amerikanske virksomhed kun må overlade persondata til en databehandler i et tredjeland, herunder USA, til formål, der er forenelige med det oprindelige. Ordningen stiller blot krav om, at formålet skal være specifikt og begrænset.

Hvis den pågældende databehandler eller den dataansvarlige i USA har modtaget personoplysninger fra en europæisk forretning, men samtidig har hjemmel til at videregive personoplysningen til en tredjepart, har den registrerede ikke ret til at få oplysning herom.

Dette skyldes, at Privacy Shield ikke giver en sådan ret ved indirekte registreringer. Dette er ligeledes uforeneligt med principperne i GDPR.

Det skal for en god ordens skyld siges, at GDPR selv indeholder en række undtagelser til oplysningspligten – særligt for offentlige myndigheder i tilfælde af indirekte registreringer. Privacy Shield vedrører dog private virksomheders behandling af data, og her finder undtagelserne i GDPR i mindre grad anvendelse.

Retten til effektive retsmidler – EU Charteret artikel 45 og EMRK artikel 13

I forbindelse med den første årlige revidering af Privacy Shield kritiserede EU-Kommissionen, at der ikke var en egentlig effektiv klageinstans.

Kritikken er berettiget, fordi dette netop var et af Domstolens argumenter for at ugyldiggøre Safe Harbor. Europæiske borgere har krav på effektive retsmidler, og med en manglende effektiv og uafhængig klageinstans i USA som europæiske borgere kan henvende sig til, er dette en af de største mangler ved Privacy Shield.

Det må anerkendes, at Privacy Shield indeholder mange forskellige klagemuligheder for europæiske borgere – selvom der ikke er én selvstændig klagemyndighed. GDPR tillader dog, at der kan være flere tilsynsmyndigheder i et land.

På trods af de mange klagemuligheder, og at de forskellige klageorganer har detaljerede håndhævelsesbeføjelser, kan det ikke gå ubemærket hen, at ingen af disse klagemuligheder indebærer en klage over efterretningstjenesternes adgang og behandling af europæeres persondata.

Det er også uvist, hvad klageorganerne har af håndhævelsesbeføjelser over for efterretningstjenesterne.

I EMD-dommen (den europæiske menneskerettighedsdomstol) Leander mod Sverige mente domstolen ikke, at der var tale om en krænkelse af retten til privatliv, fordi klageren havde mulighed for at klage til den svenske Ombudsmand.

Man mente, at Ombudsmanden var en effektiv klageinstans, fordi der med tiden har udviklet sig den sædvanlige praksis at følge ombudsmandens udtalelser, som om de var bindende, selvom de retligt set ikke var det.

Det er derfor umiddelbart positivt, at der som noget nyt er udpeget en Privacy Shield Ombudsmand, som europæere kan henvende sig til med klager over persondatabehandlinger i USA.

Der kan dog sås tvivl om ombudsmandens uafhængighed, i betragtning af at denne ombudsmand er en politisk udpeget minister, som let kan afskediges.

Derudover lader det ikke til, at ombudsmanden har mulighed for at tiltvinge sig adgang til dokumenter hos efterretningstjenester (aktindsigt), hvorfor det næppe kan siges at være en effektiv tilsynskontrol.

Det er også tvivlsomt, om Privacy Shield Ombudsmanden overhovedet har beføjelser til at håndhæve sanktioner i forbindelse med brud på Privacy Shield, da ordningen ikke nærmere specificerer ombudsmandens kompetencer og håndhævelsesbeføjelser.

Dette skyldes i særlig grad, at USA ikke har traditioner for at have en egentlig ombudsmandslignende funktion, som vi har i Norden.

Sammenligner man Privacy Shield Ombudsmandens kompetencer og beføjelser, med hvad vi i Norden betragter som en Ombudsmand, kan man næppe sige, at Privacy Shield Ombudsmanden er en effektiv klageinstans.

Privacy Shield Ombudsmanden kan næppe betragtes som et effektivt retsmiddel i henhold til EU Charterets artikel 45 og EMRK artikel 13.

Hvad skal der gøres?

Når EU-Kommissionen vælger at lave en særlig ordning i stedet for at lave en ny tilstrækkelighedsvurdering af USA som tredjeland, skyldes det, at USA ikke vil kunne bestå en sådan vurdering.

Man anerkender dog samtidig USA's globale status, og at persondataoverførsler til USA er en vigtig del af det kommercielle forhold mellem USA og EU.

Alternativet ville være, at man helt stoppede overførslerne, hvilket næppe er i amerikanernes eller de europæiske virksomhederne interesse.

Hvis man som europæisk virksomhed har en amerikansk samarbejdspartner som man ønsker at overføre personoplysninger til, kan man som alternativ anvende andre overførselsgrundlag såsom bindende virksomhedsregler eller EU-Kommissionens standardkontraktbestemmelser.

Sidstnævnte er dog ligesom Safe Harbor i fare for at blive ugyldiggjort af EU-Domstolen af samme årsager som i Safe Harbor-dommen.

Hvis dette sker, vil Privacy Shield utvivlsomt lide samme skæbne som Safe Harbor, da de samme argumenter om manglende effektive retmidler og brud på retten til privatliv også bliver rejst mod EU-Kommissionens standardkontraktbestemmelser.

Dette kan måske undgås, hvis EU-Kommissionen i sin anden årlige revidering af Privacy Shield ikke negligerer retten til privatlivet og retten til effektive retsmidler i selve ordningens indhold.

EU-Kommissionens seneste årlige revidering fandt sted i oktober 2018. Konklusionerne offentliggøres i en rapport inden udgangen af december 2018.

Relateret indhold

Kommentarer (1)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
René Nielsen

Lad mig starte med at slå fast at jeg skelner imellem Europa og EU, fordi det jo ikke er alle europæiske lande som er medlem af EU. Et af de store europæiske lande er som bekendt på vej ud af EU.

Og for at være lidt direkte, så tror jeg heller ikke på Privacy Shield er det papir værd, som aftalen er nedfældet på. Det skyldes den simple omstændighed at den amerikanske ”ombudsmand” jo er udpeget på ”skrømt”.

EU-domstolen kan jo ikke tillade den eneste kontrollør EU har – ikke virker efter EU’s hensigt. Det er blot et spørgsmål om tid før Privacy Shield lider samme skæbne som Safe Harbor. Og det tror jeg er driveren bag de mange datacentre som i disse år bliver opført i EU-lande. At de globale IT-giganter er kommet til samme konklusion.

At det på længere sigt bliver det ulovlig af udføre EU-persondata fra EU og at der indføres ”lokalt ejerskab” af lokale data. At lande som f.eks. Tyskland vil kræve af IT-giganterne at der indføres ”vand og brandtætte skodder” imellem det udenlandske hovedkontor og den tyske afdeling.

I den sammenhæng, er det værd at bemærke, at EU’s lovgivere vil finde det mere betryggende at have et lokalt selskab, som man lettere kan kontrollere juridisk. Privacy Shield vil være argumentet, men tungt i denne kurv ligger spørgsmålet om skat og moms. IT-giganterne har svimlende omsætninger, men stort set ingen skattebetalinger i EU!

Hvis man som EU-lovgiver kan slå to fluer med et smæk …. Så er det måske en tanke værd.

Det er i den sammenhæng interessant at lande som Indien og Brasilien mere eller mindre kopier EU’s lovgivning omkring datasikkerhed.

Log ind eller Opret konto for at kommentere