Hvorfor satte EU-domstolen Privacy Shield til side?

Written By Ida Tho

Photo by Jacob Morrison on Unsplash

Jeg har tenkt mye på Schrems II siden vi fikk det nye rammeverket for overføringer fra EU/EØS til USA i sommer. Folk spør meg ved ujevne mellomrom om jeg tror adekvansvurderingen til Data Privacy Framework faktisk vil bli ugyldiggjort, og jeg aner ikke.

Men jeg har lyst til å gjøre meg opp en mening som er hakket mer kvalifisert enn min vanlige pessimisme.

Og for å gjøre det, må det være klinkende klart for meg hvorfor adekvansvurderingen til Privacy Shield ble satt til side. Ja, du gjettet riktig: jeg har lest Schrems II på nytt.

La oss starte med konklusjonen i Schrems II.

EU-domstolen kom til at sertifisering etter Privacy Shield ikke garanterte et tilsvarende beskyttelsesnivå for europeiske borgeres personvern ved overføring til USA som det vernet vi har etter GDPR.

Argument 1: Etterretningslovene inneholder ikke noen sikkerhetsmekanismer som setter skranker for hva myndighetene kan overvåke.

FISA 702 har ingen begrensninger for amerikanske myndigheters mulighet til overvåkning.

Hvorfor er dette viktig?

Et inngrep i personvernet trenger ikke være et brudd på våre personvernrettigheter så lenge inngrepet er proporsjonalt. Menneskerettighetene er slik: du har rettigheter, men det kan gjøres inngrep i dem – bare inngrep som står i forhold til målet (som vi anerkjenner i et demokratisk samfunn).

For at du skal kunne vurdere om et inngrep er proporsjonalt, må det finnes tydelige rammer for inngrepet. Her kreves det et minimum av «safeguards» eller sikkerhetsmekanismer i loven som skal forhindre at personopplysninger misbrukes.

Siden FISA 702 ikke inneholder noen slike sikkerhetsmekanismer, konkluderer domstolen med at den loven ikke kan garantere et beskyttelsesnivå for europeiske borgere tilsvarende det vi har etter EU-lovgivningen.

Domstolen legger også vekt på at overvåkningsprogrammene som hjemles i EO 12333 er ikke gjenstand for noen juridisk prøving.

Den eneste sikkerhetsmekanismen som er etablert, er en ombudsperson. Men domstolen trekker frem at ombudspersonen har ikke myndighet til å komme med bindende avgjørelser når etterretningsmyndighetene går utenfor sine fullmakter. Dermed er ikke dette en effektiv sikkerhetsmekanisme.

Argument 2: Du som registrert har ikke noen «effektive rettsmidler»

PPD-28 gir deg som registrert ingen positive rettigheter som du kan håndheve i det amerkanske rettsvesenet, for eksempel overfor en domstol. Det samme gjelder EO 12333.

Dette er lacuna-argumentet: i fravær av effektive rettsmidler dvs muligheten til å håndheve personvernrettigheter overfor amerikanske myndigheter, kan ikke EU-kommisjonen konkludere med at europeiske borgere er gitt et tilsvarende vern.

Ida Tho
Previous

Hva Facebook sin forretningsmodell kan fortelle oss om hvordan vi skal vurdere personvernrisiko i ny teknologi som AI
Next

Hvordan du kan bruke innsynsretten til å lære mer om personvern