USA og EU har længe forhandlet om en ny aftale, der skal regulere overførsler af persondata over Atlanten og erstatte den såkaldte Privacy Shield-aftale. Fredag underskrevet præsident Joe Biden et dekret, der får afgørende betydning for en ny rammeaftale for dataoverførsler mellem Europa og USA.
Dekretet begrænser amerikansk spionvæsen og skal sikre, at USA lever op til EU’s persondataforordning (GDPR). Den såkaldte Schrems II-dom ved EU-domstolen i 2020 slog fast, at amerikansk sikkerhedstjenester via Privacy Shield havde for omfattende adgang til persondata og dermed ikke levede op til den europæiske lovgivning.
Med Bidens nye dekret oprettes der en ny amerikansk datadomstol under det amerikanske justitsministerium med navnet Data Protection Review Court. Domstolen vil give borgere mulighed for at anlægge søgsmål, der forholder sig til hvordan de amerikanske sikkerhedstjenester, herunder National Security Agency (NSA), bruger persondata. Hermed vil domstolen potentielt kunne skabe nye grænser for, hvor meget og hvordan data indsamles.
Datadomstolens afgørelser vil være uafhængige og bindende, sagde den amerikanske handelsminister Gina Raimondo ved en briefing.
– Disse forpligtelser adresserer fuldt ud EU-domstolens Schrems II-afgørelser fra 2020 og vil dække persondataoverførsler til USA under EU-lov, siger hun.
Proportionel indsamling
Dekretet har som overordnet princip, at amerikanske efterretningstjenester skal indsamle data til specifikke og klart definerede sikkerhedsformål. Eller sagt på en anden måde: Indsamlingens omfang skal være proportionel og forenelig med formålet. Og her bliver det for alvor interessant. Den såkaldte bulk-indhentning af data, som NSA er kendt for på grund af Edward Snowdens afsløringer, kan i princippet blive berørt af det nye dekret.
Bulk-metoden er blevet kritiseret for at indsamlet enorme mængder persondata, som ikke har et specifikt formål. Disse store datamængder kan så analyseres med forskellige filtre og søgeord og i princippet opbevares så længe sikkerhedstjenesterne ønsker det.
Netop bulk-metoden var delvist centrum for den kritik, som Tilsynet med Efterretningstjenesterne (TET) rettede mod Forsvarets Efterretningstjeneste (FE) tilbage i august 2020 i en meget omtalt pressemeddelelse. FE’s såkaldte kabelsamarbejde med NSA betød ifølge TET, at der er ‘risici for, at der uberettiget kan foretages indhentning mod danske statsborgere’.
De nye toner fra USA vil også have direkte berøring med den såkaldte Chromebook-sag fra Helsingør, da det netop omhandler Googles overførsler af persondata til USA samt de amerikanske sikkerhedsagenturers potentielle adgang til disse data.
Bidens dekret er et stort skridt på vejen mod en ny transatlantisk aftale for dataoverførsler, der dækker alt fra mindre virksomheder til Google, Facebook og Amazon. Næste skridt bliver, at EU-kommissionen i samspil med en række EU-agenturer skal forsøge at få dekretet til at spille sammen med europæisk lov.
Datatilsynet: Ro på
Det danske datatilsyn skriver som reaktion på Bidens nye dekret:
‘Det amerikanske dekret betyder dog ikke, at danske virksomheder og myndigheder allerede nu kan overføre personoplysninger til USA uden et overførselsgrundlag og opfyldelse af kravene, som følger af Schrems II-afgørelsen. Næste skridt er, at EU-Kommissionen efter en særlig procedure, der også indbefatter høring af Det Europæiske Databeskyttelsesråd, skal afgøre, om der kan laves en tilstrækkelighedsvurdering.’
For at det kan ske, skal indsamlingen af personoplysninger være ‘proportional og begrænset til det strengt nødvendige, og EU-borgere, der får deres personoplysninger behandlet af de amerikanske efterretningstjenester, skal have adgang til effektive retsmidler, herunder en uafhængig klageinstans.’
Hos IT-Branchen læser man teksten i Bidens dekret noget mere positivt.
– Med aftalen er der nu kommet klarhed omkring, at det er tilladt at overføre europæisk persondata til servere i USA. Det er vi rigtigt glade for, da det fjerner den tvivl, der ellers har opbygget sig omkring brugen af amerikanske cloudløsninger, siger Martin Jensen Buch, chefkonsulent i IT-Branchen, i en pressemeddelelse.
