06/04/2022 - Privacy Shield

Privacy Shield 2-principper giver et håb til virksomhederne 


Siden Privacy Shield blev dømt ude i sommeren 2020, har datadeling mellem USA og EU været lovgivningsmæssig svær at gennemskue for de virksomheder, der beskæftiger sig med cloud-tjenester.

Tim Krarup Nielsen ser derfor positivt på de nyligt annoncerede principper fra EU-Kommissionen og USA.

Tekst: Cecilie Uhre


Billedet: Redigerede billeder fra Shutterstock.

 

I slutningen af marts i år annoncerede formand for EU-Kommissionen Ursula von der Leyen sammen med USA’s præsident Joe Biden, at de er kommet til enighed om nye principper for et datadelingssystem mellem USA og EU.

Et system, der skal erstatte det tidligere Privacy Shield, som blev fundet ugyldigt ved EU-domstolen i sommeren 2020.
Annonceringen af principperne er, ifølge Tim Krarup Nielsen, der er advokat og partner med speciale i blandt andet persondata og datasikkerhed hos DAHL Advokatpartnerselskab, et tegn på, at der er håb for et nyt system.

“Det her kan bruges som en indikation på, at nu sker der noget lige om lidt,” siger han om principperne, der har været længe ventede af flere virksomheder.

Principperne, der ikke er offentliggjort endnu, men kun er blevet annonceret som værende på vej, er ikke en førstegangsforestilling, fortæller Tim Krarup Nielsen.

Jeg er slet ikke i tvivl om, at der kommer en sag mere.

Tim Krarup Nielsen, med reference til  Schrems II-sagen, der har haft kolossal indflydelse på virksomheder, som arbejder med eller kommer i berøring med dataoverførsel på tværes af Atlanten

 

Men det er ikke så tit, at statsoverhoveder udtaler sig om det, og det viser, at de to statsoverhoveder har til hensigt at lave noget sammen.

“Der mangler alt den bagvedliggende jura, men jeg vil sige, at man må være tæt nok på, når man tør udtale sig på sådan et topniveau, som man har gjort. Man har fastlagt nogle principper for, hvad det er, vi skal videre med. Altså hvad er det for nogle værktøjer, vi vil arbejde med. Nu skal man så til at lave selve værktøjet. Man skal lave de tekster til amerikansk lovgivning, som skal bruges, og man skal lave den vurdering fra EU-retten, der skal til for, at man kan komme videre,” forklarer han.

 

Klart politisk signal

Til spørgsmålet om, hvad man helt konkret kan bruge principperne til, svarer Tim Krarup Nielsen, at det er et ret klart politisk signal om, at det her skal lykkes.

“Og et sådant signal kan godt give et håb i horisonten for virksomheder i forhold til, at de måske ikke har helt så travlt med at komme ud af de her amerikanske tjenester, som man troede,” siger han og forklarer, at før de her principper blev annonceret, var der næppe mange, der havde helt styr på, hvad der skete. Der var en generel uklarhed om, om man som virksomhed kunne sende data til USA, for det er svært helt at vide, om det er lovligt eller ej efter det gamle Privacy Shield blev fundet ugyldigt.

“Derfor har det betydet, at virksomheder har skullet gå ind og vurdere, om de må sende data til USA - herunder om de må bruge de store cloud-leverandører, eller om de selv har skullet ud og finde alternativer.”

Og annonceringen om principperne er altså en indikation på, at arbejdet med det nye Privacy Shield 2 er i gang. I hvert fald er det, ifølge Tim Krarup Nielsen, et klart signal på, at der sker et eller andet.
“Men jeg ville være overrasket, hvis vi havde noget, der var implementeret og klart inden for et halvt år.”

 

“Selvfølgelig går det for langsomt”

Arbejdet med et Privacy Shield 2, der som før nævnt skal erstatte det tidligere Privacy Shield og det endnu tidligere Safe Habour, er dyrt for virksomhederne at vente på.

For på den anden side af Atlanten i USA findes de største teknologiledende virksomheder. Specielt når vi snakker cloud-tjenester. Faktisk er der, ifølge Tim Krarup Nielsen, næsten ikke noget, du kan lave af teknologisk størrelse, som ikke involverer en amerikansk tjeneste i den ene eller den anden sammenhæng.

“Tag bare de store som Google, AWS, Oracle osv. Alt sammen noget, der har med USA at gøre. Og ja, de har europæiske datacentre og alle mulige andre ting, men du kommer ikke udenom, at det kommer forbi USA på den ene eller den anden måde,” siger han og fortsætter:

“Og det kan man bare ikke melde sig ud af, for så ville man skulle etablere noget i Danmark, der har samme højde, og det koster en formue, og der er mange, der ikke vil eller kan gøre det.”

Det betyder, at indtil det nye Privacy Shield 2 er faldet på plads, så har virksomheder typisk to valg. Enten tror de ikke på, at der er noget, der er lovligt udenfor EU, og så er de nødt til at bygge det hele inden for EU. Og ellers bruger virksomhederne en del penge på at finde ud af, hvordan de skal finde vej gennem systemet.

Det er blandt andet dyrt, fordi virksomhederne bør vurdere modtagerlandets juridiske sammensætning på et niveau, der gør, at de er nødt til at have fat i eksterne konsulenter. Ifølge Tim Krarup Nielsen, snakker vi langt over en million kroner, og nok også over en million US dollars for at få lavet en vurdering.

Derfor mener han også, at arbejdet ikke går hurtigt nok.

“Selvfølgelig går det for langsomt. Det bringer jo værdispil i milliardklassen, at der ikke er styr på det her,” siger han.

 

Ændring af grundpiller i politisk system

Selvom Tim Krarup Nielsen mener, at det går for langsomt med udarbejdelsen af et nyt Privacy Shield, så er han ikke uforstående overfor, hvorfor det tager tid at lave.

Fra EU’s side, tror Tim Krarup Nielsen, at det tager tid, fordi de ikke vil risikere at lave noget, som er en gentagelse af de to tidligere løsninger. For man har ikke lyst til at tabe igen.

“Jeg er slet ikke i tvivl om, at der kommer en sag mere. Så snart det her nye Privacy Shield 2 er implementeret, så vil Schrems og hans non off your business-organisation (NOYB) formentligt gennemgå det, og hvis de ikke mener, at den er lige som den skal være, så vil de prøve at få den testet ved en domstol igen. Derfor vil man fra europæisk side være sikker på, at det holder,” siger han.

Noget af det, man vil gøre anderledes med det nye system, er at implementere en form for readdress-system. Det vil sige en mulighed for at blive hørt.

“Før var der noget, der hed en ombudsmand, men uden nogle egentligt effektive retsmidler. Det vil nok være dem, man prøver at adressere med det her, kunne jeg forestille mig. Og så at man indfører nogle begrænsninger på, hvad de amerikanske myndigheder må opsnappe af data og kigge på. Altså et proportionalitetshensyn,” siger han.

Derfor er det også nogle af grundpillerne i det politiske system, der skal ændres. Og det gøres heller ikke lige i et snuptag.

Hos amerikanerne er det nogle grundlæggende principper, der er i gang med at blive brudt. Tim Krarup Nielsen nævner blandt andet, at det er enormt følsomt for USA, at nogen udenfor USA skal have lov til at bestemme over noget inden for USA’s grænser.

“Det bliver spændende at se, den er ikke længere. Jeg ser det som en positiv ting. Når det først bliver vedtaget i EU, og man begynder at se amerikanske virksomheder melde sig til i USA, så er det jo lovligt. Så må vi jo se, hvor lang tid det tager for de sager, der skal køres ved EU-domstolen. Men indtil da, der er det i hvert fald lovligt, og så har vi fået et pusterum mere.”

Her er to dokumenter, hvor du selv kan grave dig dybere ned i, hvad vi ved indtil nu om principperne. 

Factsheet fra The White House

Factsheet fra Europakommissionen 

 

 

Del denne fra K-NEWS

Skal vi holde dig opdateret?

Få besked om nye artikler og podcast direkte i din mailboks ved at tilmelde dig herunder.

Vi indsamler ikke data om dig – og journalistikken, vi leverer, er gratis.

Nyhedsmail. Ja tak