Tech Blog

Safe Harbor 2.0 = Privacy Shield

Av Christine Storr (Kirchberger)

Efter långa förhandlingar har USA och EU kommit överens om ett nytt Safe Harbor regelverk, med namnet Privacy Shield. Kommissionären Věra Jourová och Kommissionens vice ordförande Andrus Ansip förklarade förra veckan vid en presskonferens att en överenskommelse hade nåtts. EU Kommissionens pressmeddelande den 2 februari 2016talade om en“Sköld för skydd av privatlivet”.

Vad handlar Privacy Shield om?

Än så länge finns ingen fullständig text av beslutet tillgänglig men enligt EU kommissionens pressmeddelande består Privacy Shield av följande delar:

  • Stränga skyldigheter åläggs företag som behandlar personuppgifter om EU-medborgare och kraftfulla insatser införs för att säkerställa efterlevnaden av reglerna. Amerikanska företag som vill importera personuppgifter från Europa måste åta sig att följa stränga krav på hur personuppgifter behandlas  och individuella rättigheter garanteras. USA:s näringsdepartementet (U.S. Department of Commerce) och den federala konkurrensmyndigheten (Federal Trade Commission) ska övervaka efterlevnaden. Dessutom måste företag som hanterar uppgifter om personal från EU följa beslut från dataskyddsmyndigheter i EU.
  • Tydliga skyddsmekanismer och insynskrav för amerikanska myndigheternas tillgång till personuppgifter införs. För första gången har USA gett EU skriftliga garantier att åtkomsten för brottsbekämpande myndigheter och underrättelsemyndigheter ska ha tydliga begränsningar, skyddsåtgärder och tillsynsmekanismer. Undantag får endast ges i den utsträckningen de är nödvändiga och proportionella. För att säkerställa att överenskommelsen fungerar ska EU Kommissionen och USA:s Department of Commerce årligen se över den och bjuda in säkerhetsspecialister från amerikanska och europeiska dataskyddsmyndigheter.
  • Ett effektivt skydd för EU medborgares rättigheter med flera möjligheter till prövning inrättas. En EU-medborgare som anser att hans eller hennes personuppgifter har använts på ett felaktigt sätt ska ha möjligheter till prövning. Europeiska dataskyddsmyndigheter kan föra vidare anmälningar till U.S. Department of Commerce och Federal Trade Commission. För klagomål som avser nationella underrättelsemyndigheter ska en ny ombudsman tillsättas.

De närmaste veckorna kommer texten till ett ”beslut om adekvat skyddsnivå” att utformas, som sedan ska utfärdas av EU Kommissionen, efter samråd med artikel 29-arbetsgruppen. Under tiden ska USA:s Department of Commerce börja inrätta de olika mekanismer som man kom överens om, bl.a. den nya ombudsmannen.

Vad händer i USA?

USA:s näringsdepartementet publicerade samma dag en Fact Sheet om Privacy Shield. Den påpekar bl.a. att

  • In connection with finalization of the new EU-U.S. Privacy Shield, the U.S. Intelligence Community has described in writing for the European Commission the multiple layers of constitutional, statutory, and policy safeguards that apply to its operations, with active oversight provided by all three branches of the U.S. Government.
  • The Privacy Shield provides, for the first time, a specific channel for EU individuals to raise questions regarding signals intelligence activities relating to the Privacy Shield. As a part of this process, the United States is making the commitment to respond to appropriate requests regarding these matters, consistent with our national security obligations.

USA:s Department of Commerce höll samma dag en Q&A på Twitter där de svarade på frågor från allmänheten. Enligt uttalanden där kommer Privacy Shield bygger på självcertifiering och leder inte till några lagändringar i USA. Departementet har redan börjat tillsätta resurser på Privacy Shield:

U.S. Commerce Dept.

@CommerceGov

We have doubled the number of staff for administering & significant new resources are on the way. https://twitter.com/JedBracy/status/695006329073766400 

Jed Bracy@JedBracy

.@CommerceGov how big will this new special team for handling complaints be and what kind of resources will it have? #PrivacyShield

Tidsramen

Överenskommelsen kom precis i tid då artikel 29-arbetsgruppen avsåg att börja kontrollera hur företag och organisationer hanterade transatlantiska överföringar av personuppgifter i avsaknaden av Safe Harbor regleringen. Arbetsgruppen hade i oktober förra året (efter Schrems domen) satt en deadline (31 januari 2016) för Kommissionen att nå en överenskommelse med USA, läs meddelandet som pdf här. Planen var att de olika dataskyddsmyndigheterna skulle koordinera tillsynen över organisationer som överförde personuppgifter till USA med stöd av Safe Harbor. Arbetsgruppen har nu bett Kommissionen att leverera dokumenten till slutet av februari så att gruppen kan diskutera om de andra mekanismernaför transatlantiska överföringar av personuppgifter fortfarande är adekvata. Läs deras uttalande här som pdf:

The Working Party asked the European Commission to deliver all documents on the EU-U.S. Privacy Shield to the Working Party by the end of February. An extraordinary plenary meeting of the Working Party will then be organized around the end of March. After this, the Working Party will consider whether the other data transfer mechanisms are still valid for transfers of personal data to the U.S. According to the Chair of the Working Party Isabelle Falque-Pierrotin, a final decision could be made by the end of April.*

Vi rapporterar självklart på bloggen så snart några ytterligare detaljer har publicerats!