Webperf
Är det läge för de som gillar USA-baserade molntjänster att andas ut igen? Eller är denna Privacy Shield 2.0 bara inledningsakten till Schrems 3-domen?
Vad denna nya överenskommelse mellan EU och USA ska kallas verkar inte helt självklart. Vissa gör det enkelt för sig och sätter ”2.0” bakom det tidigare namnet, Privacy Shield. Med den logiken skulle man kunna kalla det Safe Harbour 3.0 eftersom Safe Harbour var namnet på uppgörelsen innan Privacy Shield.
Andra kallar den senaste varianten TADA, vilket kanske låter lite löjligt och det med flit bland somliga eftersom det hela kan upplevas vara en fars vid det här laget mellan politisk ambition och återkommande bakläxa från EU-domstolen. Faktum är att när man skriver TADA på en mobil kommer en liten partypoppande emoji fram. TADA skulle kunna vara förkortningen av Trans-Atlantic Data Privacy Framework, antar jag.
Dags att fira ännu? Nej, inte riktigt!
Det är fortfarande olagligt att inte följa Schrems 2-domen från sommaren 2020. Men framåt nästa sommar kanske det blir lagligt igen med EU-invånares personuppgifter i amerikanska molntjänster.
Innan dess ska nämligen EU tröska sig igenom de byråkratiska detaljerna och det lär ta ett halvår. Och först efter det vet vi hur det är tänkt att fungera i praktiken.
Det som är ”löst” nu är i den amerikanska änden. Egentligen var det nog inte där det stora juridiska problemet existerade förut utan i gränslandet mellan USA:s och EU:s lagstiftning. Närmare bestämt om USA kan garantera icke-amerikaner några rättigheter och för oss EU-invånare på en sådan nivå att GDPR kan anses respekteras.
I detta skede är det egentligen mest intressant att höra vad Max Schrems och organisationen NOYB tänker om händelseutvecklingen. Om de tror att problemet är löst i realiteten den här tredje gången kommer de inte att inleda ännu en, populärt kallat, Schrems-rättegång i CJEU (EU-domstolen) för att få domstolens syn på saken.
NOYB:s första reaktion – ”osannolikt att det följer EU-lagar”
NOYB släppte samma dag, som beskedet från USA:s administration kom, att de inte riktigt trodde på detta.
New US Executive Order unlikely to satisfy EU law (NOYB, 7 oktober 2022)
Och vi som följt debatten det senaste halvåret sedan Joe Biden och Ursula von der Leyen i enighet berättade om det blivande avtalet har hunnit stöta och blöta en hel del. Vad skulle göra en ny variant av detta hållbar för överprövning i EU-domstolen?
Vissa menar att det är ett omöjligt uppdrag. Att vad man än kommer fram till inte kan leva upp till de krav som ställs av EU-domstolen. Att skyddet av personuppgifter är ”för djupt rotat” i EU och att det inte bara är att ”luckra upp GDPR”.
Privatliv är en mänsklig rättighet
Jag är måhända ingen GDPR-expert men har lagt mycket tid och möda på hur vi som jobbar med webbanalys och webbutveckling ska resonera i tillämpningen av den juridiska praxis som växer fram och tolka juridisk intention. Jag föreläste så sent som förra veckan hos Göteborgs universitet på ämnet dataskydd inom webbanalys. Det är svårt att inte hamna i etikfrågor och dataskydd. Värnandet av personuppgifter sitter mycket djupare än GDPR / dataskyddsförordningen. Det definierar vår kultur i Europa på sätt och vis, men kanske sitter ännu hårdare bland de länder som drabbades av andra världskrigets fasor. Övervakningsmaskineriet i Östtyskland är ett avskräckande exempel och den gemensamma upplevelsen tycks ha varit att det var dags att respektera människovärdet på riktigt.
Det jag brukar ta upp under mina föreläsningar är att det må kännas opraktiskt i stunden när man inser följderna av lagstiftningen men att det är något bra.
Min ständiga grej är att argumentera med en samling hänvisningar till andra. Så lyssnaren inte behöver förlita sig på mig som person och min åsikt fullt så mycket. Dessa exempel brukar jag dra.
“Ingen får utsättas för godtyckligt ingripande i fråga om privatliv, familj, hem eller korrespondens[…]”
– artikel 12, FN:s konventioner om mänskliga rättigheter
“Var och en har rätt till skydd för sitt privat- och familjeliv, sitt hem och sin korrespondens.”
– artikel 8.1, Rätt till skydd för privat- och familjeliv, Europakonventionen
“[…] var och en gentemot det allmänna skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden.”
– grundlagen, regeringsformen 2 kapitlet 6 paragrafen
Att värna privatliv är inte en särskilt radikal åsikt. Inom det digitala verkar många dock tycka att det är påfrestande med dessa krav.
En Executive Order är ingen lag, det är en instruktion från presidenten
Om vi börjar titta på ingredienserna i detta paket av åtgärder så var det en så kallad Executive Order (EO) som Biden-administrationen annonserade nu i oktober. Vad är en EO? Jo, en sorts instruktion som kan dras tillbaka när som helst av en sittande president. Vissa menar att det också existerar EO:s som inte offentliggörs, men om det är konspiratoriskt tänkande eller ej är oklart. Hur som helst så är inte en EO en lag eller särskilt bindande.
I USA är det bara kongressen som kan stifta lagar. EU-domstolen har uttryckt att det är en lag som behövs i USA. Det finns inte ännu, men denna EO ska ändå ses som en signal att åtminstone sittande president vill gå EU till mötes.
Den ”domstol” som nämns i denna EO är inte en domstol i egentlig mening på grund av att den lyder under den exekutiva grenen av USA:s demokratiska system och inte den juridiska. Lite samma logik som vi har i EU där politiska representanter gör upp med folkvalda i USA, men senare får smäll på fingrarna av EU-domstolen.
Vad betyder då det här med ett nytt juridiskt ramverk mellan EU-USA för personuppgifter?
Som så ofta är det en avvägning om hur riskvillig man vill vara och om man tror de fått till det den här gången. I detta fall också om de EU-baserade alternativen nu håller måttet spelar säkert också in. Se exempelvis eSams arbete med en digital samarbetsplattform som allt fler EU-baserade leverantörer nu erbjuder.
Du kan lugnt räkna med att det kommer finnas gott om leverantörer som menar att allt återigen är frid och fröjd när du använder deras produkter. Att nu är överföringar till USA, eller servrar i EU som kontrolleras av USA-baserade organisationer (så kallad tredjelandsproblematik) inget att oroa sig över. Ungefär som det låtit sedan den första Schrems-domen 2015.
Men att om 18 månader bli överraskad för att vi fick en tredje Schrems-dom av EU-domstolen kommer inte se bra ut i någons CV. Det är upp till dig att bilda dig en egen uppfattning, för du kan inte delegera ditt ansvar för personuppgifter.
Som ordspråket lyder:
”Fool you once, shame on them
Fool you twice shame on you”
Personligen agerade jag 2015, vid den första Schrems-domen, och skrev ett tjänsteutlåtande till kommunikationsdirektören på Västra Götalandsregionen att det var dags att byta ut Google Analytics med Matomo. Om du nu inte redan lyckats positionera var jag står i denna fråga kan det vara värt att veta.
Mer om GDPR, TADA och Schrems-domarna
- Joe Biden skriver under garantier för dataöverföring – molnkaoset går mot sitt slut (Computer Sweden)
- Biden signs order to implement EU-U.S. data privacy framework (Reuters)
- FACT SHEET: President Biden Signs Executive Order to Implement the European Union-U.S. Data Privacy Framework (The White House)
- Executive Order On Enhancing Safeguards For United States Signals Intelligence Activities (The White House)
- New US Executive Order unlikely to satisfy EU law (NOYB)
- Ska vi vänta på Privacy Shield 2.0? (Pierre Mesure skriver på Webperf, mars 2022)
