Privacy Shield ennå ikke bra nok


EU-parlamentet har i en beslutning 26. mai 2016 bedt EU-kommisjonen om å gjenåpne forhandlinger med USA for å fjerne mangler ved den foreslåtte EU-US Privacy Shield ordningen.

Den 6. oktober 2015 kom EU-domstolen, i Max Schrems-dommen, til at Safe Harbor-ordningen var ugyldig. Safe Harbor ble benyttet som et grunnlag for å kunne eksportere personopplysninger fra Europa til USA. Vi har tidligere skrevet om avgjørelsen i nyhetsbrev som er tilgjengelig her. EU-US Privacy Shield er arvtakeren til Safe Harbor-ordningen og skal fylle samme rolle.

Parlamentet mente særlig at følgende områder innenfor EU-US Privacy Shield var mangelfulle og bør forbedres:

  • amerikanske myndigheter har for stor tilgang til opplysninger som blir overført til USA på basis av Privacy Shield
  • muligheten amerikanske myndigheter har til å samle store datamengder vil i noen tilfeller ikke oppfylle kravene til nødvendighet og proporsjonalitet etter EU pakten om grunnleggende rettigheter
  • den amerikanske ombudsmannsordningen er ikke tilstrekkelig uavhengig og har ikke tilstrekkelig myndighet
  • klageordningen er for kompleks og må gjøres mer brukervennlig og effektiv

EU-parlamentet ba om at EU-kommisjonen fullt ut implementerer anbefalingene fra Artikkel 29 gruppen, en gruppe som  består av europeiske datatilsyn.

For de bedriftene som fortsatt overfører opplysninger til USA under den ugyldige Safe Harbor-ordningen, anbefaler vi å vurdere andre grunnlag for overføringen, slik som bruk av EUs standardavtaler for eksport av personopplysninger (SCC'er). Som denne saken viser, er det uansett ikke å anbefale å vente på at Privacy Shield skal bli innført.