safe harbor


Många var nog de företag som drog en lättnadens suck när det stod klart att EU och USA är överens om ett ramverk för ett nytt Safe Harbor-avtal, kallat Privacy Shield. Ett generellt avtal är tänkt att underlätta för företagen och ska säkerställa att europeiska medborgares data besitter samma skydd som i EU.

Men man ska som bekant inte ropa hej förrän man är över bäcken. Det dröjde inte länge innan det väcktes frågor om Privacy Shields giltighet och dess faktiska innehåll. För några dokument finns inte än och fortfarande är mycket oklart om vad avtalet faktiskt kommer att innehålla.

Läs också: Nytt Safe Harbor-avtal får massiv kritik direkt – "ett skämt"

– Allting vi vet om Privacy Shield, den nya överenskommelsen, bygger på det som ansvarig kommissionär har berättat. Och hon har inte berättat några som helst detaljer egentligen. Och 29-gruppen, som vi ingår i, välkomnar det skriftliga underlaget från kommissionen som kommer. Men vi har inte detaljerna för närvarande, säger Hans Olof Lindbom, chefsjurist på Datainspektionen.

Artikel 29-gruppen består av representanter från medlemsländernas olika dataskyddsmyndigheter. Under två dagar tidigare i veckan var de på plats i Bryssel för att, som det var planerat från början, diskutera eventuella åtgärder om USA och EU inte kommit överens. Nu blev det ett nytt avtal, eller i alla fall en grund till ett nytt avtal. Men osäkerheten kan hänga kvar. För det är en lång väg till faktiskt regelverk.

Förhoppningen är att Artikel 29-gruppen får tillgång till kommissionens dokument innan februari månads slut, skriver de i ett uttalande. Därefter följer en omfattande analys av innehållet och resultatet av förhandlingarna. Om det följer och lever upp till kraven som ställs i den europeiska lagstiftningen för dataskydd.

Till skillnad från 2000 när Safe Harbor skulle godkännas, så kommer Europaparlamentet ha en starkare roll, skriver IDG News, med möjlighet att granska och rösta om avtalet. Enskilda medlemsstater måste också godkänna innehållet innan allt kan klubbas igenom.

Fram till dess kan det, som Computer Sweden skrivit tidigare, vara snårigt för företagen att veta vad som gäller för att dataöverföringen sker i enlighet med rätt regelverk. Hans Olof Lindblom kan bara hänvisa till vad de sa när EU-domstolen förklarade Safe Harbor ogiltigt.

– Att föra över personuppgifter med stöd av det gamla Safe Harbor-avtalet, det kan man inte göra, för det är ogiltigförklarat. Det man ska göra är att alltid fundera över: vad är det för överföringar av personuppgifter som vi gör, behöver vi göra detta, vilka andra grunder kan vi göra det på?

Läs också: Amerikanska politiker sätter käppar i hjulet för nytt Safe Harbor-avtal

Det finns än så länge standardklausuler som företagen kan använda sig av. Men även de är under granskning just nu. Hans Olof Lindblom säger att EU-domstolens beslut från oktober 2015 kan påverka även den typen av verktyg. Och nu är det fortfarande upp till varje dataskyddsmyndighet att själva avgöra om de ska vidta några granskningsåtgärder. Men för närvarande avvaktar de analysen från Artikel 29-gruppen.

Timothy Edgar, docent i internationella och offentliga affärer på Brown University, säger att han är osäker på att Privacy Shield skulle klara en juridisk granskning i EU-domstolen.

– En sak som vi med säkerhet vet är att det inte ändrar USA:s övervakningslagar. Och det är redan fastslaget att de lagarna inte tillräckligt skyddar EU-medborgares data. EU-kommissionen må vara nöjd med amerikanska myndigheters försäkringar om hur EU-medborgarnas data kommer behandlas av underrättelsetjänsten. Men det betyder inte att domstolen håller med, säger Timothy Edgar till IDG News.