EU-dom nekter selskaper å overføre data til USA
EU-dom slår fast at USA ikke beskytter personvernet godt nok. Tusenvis av selskaper kan nå nektes å overføre persondata fra EU til USA.
EU-domstolen Court of Justice forkaster en rettsavgjørelse fra 2016, og konkluderer med at USA ikke beskytter personvernet på en tilfredsstillende måte.
En transatlantisk avtale innført i 2016 gjorde at flere tusen selskaper fikk muligheten til å overføre data mellom de to kontinentene. Det er systemet denne avtalen bygger på, som ifølge domstolen ikke i tilstrekkelig grad oppfyller kravene i EUs personverndirektiv (GDPR).
Det er i dag mer enn 5.000 selskaper som benytter seg av systemet som inngår som en del av avtalen, ifølge New York Times.
Twitter utsatt for «koordinert angrep»: Fikk tilgang til kontoene til politikere og mediemoguler
Risikerer bøter
Disse selskapene risikerer nå å bli straffet for å benytte seg av systemet. I henhold til GDPR kan tilsynsmyndighetene EU-land ilegge selskaper bøter på inntil fire prosent av årsomsetningen dersom regelverket brytes.
EU-domstolen understreker i sin uttalelse at dagens amerikanske lovverk går på akkord med GDPR på grunn av at amerikanske myndigheter i lovverket har mulighet til å hente ut personlig data. Dette gjør ifølge domstolen at EU-borgeres personlige data ikke er tilstrekkelig sikret.
Domstolen slår samtidig fast at et annet verktøy, som benyttes på verdensbasis for overføring av data, er innenfor regelverket.
Ikke kritisk søkelys på Tiktok i Norge: Ingen har vurdert sikkerheten
Langvarig rettskamp
Saken kommer opp for EU-domstolen etter at saken i flere år har vært oppe til vurdering i rettsystemet. Privatpersonen Max Schemes startet i irske domstoler å utfordre Facebooks overføring av data til USA er en risiko for EU-borgere, ifølge Bloomberg.
Da denne saken kom opp for EU-domstolen i 2015 ble systemet som den gang var i bruk dømt til å ikke være godt nok i henhold til EUs personvernregler. Dette førte til at dagens system, Privacy Shield, ble innført.
Privacy Shield gjør at personopplysninger kan overføres fra Europa til et selsakp i USA, forutsatt at virksomheten i USA behandler personopplysninger i henhold til et strengt sett med regler og sikringstiltak, skriver Datatilsynet på sine nettsider.
Nå har EU-domstolen altså slått fast at denne mekanismen ikke i tilstrekkelig grad oppfyller personverndirektivet.
– Det ser ut til at vi vant en full seier. Av hensyn til vårt personvern må USA gjennomføre grundige reformer av sin overvåking før amerikanske selskaper kan få privilegert status, sier Schrems etter dommen, ifølge NTB.
Skuffet
USA er på sin side «dypt skuffet» over at domstolen har satt avtalen til side, sier handelsminister Wilbur Ross.
– Vi håper å begrense skadene dette vil føre til for det transatlantiske økonomiske forholdet, som er verdt 1.700 milliarder dollar og er viktig for personer, bedrifter og stater, sier Ross.
Han sier muligheten til å overføre data uten hindringer er avgjørende under den økonomiske gjenreisingen etter coronapandemien.
Vil samarbeide
Heller ikke EU er fornøyd med utviklingen, men vil samarbeide «svært tett» med amerikanerne om neste skritt.
– Ambisjonen er å svare på dette sammen og finne ut hvordan vi kan tilpasse oss kjennelsen, sier EUs justiskommissær Didier Reynders.
Onsdagens avgjørelse innebærer likevel ikke at det er slutt på overføring av personopplysninger mellom EU og USA, ettersom domstolen ikke grep inn mot et annet sett med regler for dette.
