Hoppa till huvudinnehåll

Det är oftast olagligt att flytta dina personuppgifter till USA men många företag gör det ändå – dataskyddsmyndigheter förbereder övervakning

Ett av Microsofts datacenter som drar söktjänsten Bing. Centret på bilden ligger i en container och har en kapacitet på 5 petabyte eller ungefär 5 miljoner gigabyte.
Ett av Microsofts datacenter ser ut så här. Det har en kapacitet på 5 petabyte eller ungefär 5 miljoner gigabyte. Ett av Microsofts datacenter som drar söktjänsten Bing. Centret på bilden ligger i en container och har en kapacitet på 5 petabyte eller ungefär 5 miljoner gigabyte. Bild: Flickr/Robert Scoble datorhall,servrar

EU-domstolen fattade förra månaden ett beslut som kan få stora konsekvenser. Den konstaterade då än en gång att EU-medborgares dataskydd äventyras när data om dem överförs till USA och att en sådan här överföring är olaglig, med få undantag.

Företag som överför personuppgifter från EU till USA har hittills kunnat lova att värna om dataskyddet extra väl och då har överföringen varit okej.

Ett sådant här arrangemang kallas för Privacy shield och har möjliggjorts av en transatlantisk överenskommelse.

Men EU-domstolen konstaterade i ett domslut i juli att Privacy shield är olagligt eftersom EU:s dataskyddsförordning GDPR inte uppfylls.

Åtminstone drygt 5 300 amerikanska företag har flyttat data om personer i EU till USA med hänvisning till Privacy shield, enligt en offentlig lista som det amerikanska handelsministeriet upprätthåller.

Det handlar om alla möjliga slags företag, till exempel IT-jättar såsom Google och Microsoft.

Finländska företag som anlitar dem kan också få det svårt framöver för både Office 365 och Googles molnbaserade tjänster påverkas.

– Det största problemet är att amerikanska underrättelsemyndigheter har obegränsad tillgång till de uppgifter som lagras på servrar i USA, medan vi i Europa är betydligt mer strikta på den här punkten och myndigheternas befogenheter regleras mycket noggrant, påpekar Finlands dataombudsman Reijo Aarnio.

Tietosuojavaltuutettu Reijo Aarnio toimistossaan.
Dataombudsman Reijo Aarnio. Tietosuojavaltuutettu Reijo Aarnio toimistossaan. Bild: Mårten Lampén / Yle dataombudsmannen,Reijo Aarnio

Inte första gången

Det är den österrikiske integritetsaktivisten Max Schrems som ligger bakom rättsfallet och han kallade domslutet en vinst för dataskyddet.

Han tog också initiativ till ett rättsfall år 2015 mot Privacy shield-arrangemangets föregångare Safe harbour. Också då förkastade EU-domstolen dataöverföringen till USA, med ganska långt samma argument.

Personuppgifter är all slags information som kan knytas till en viss person. Det kan till exempel röra sig om namn, adress, foton, videor, meddelanden, intressen och surfvanor.

Överföring enligt avtal

Förutom Privacy shield, som efter EU-domslutet inte får användas längre, så finns det en annan mekanism som möjliggör laglig överföring av personuppgifter till utanför EU, i mer än bara undantagsfall.

Det sättet är att ingå särskilda avtal mellan företag. Avtalen kallas för standardavtalsklausuler, eller SCC (Standard Contractual Clauses), och flera företag har nyligen övergått till att använda dem för sin dataöverföring.

Heikki Tolvanen som är dataskyddsexpert säger att man med hjälp av de här klausulerna försöker garantera samma nivå på dataskyddet som i EU, när data flyttas till exempel till USA.

Han kallar ändå användningen av SCC för en slags paniklösning.

– Sista ordet är inte sagt i den här frågan. SCC ändrar inte på den amerikanska lagstiftningen och problemet kvarstår, säger Tolvanen.

Heikki Tolvanen jobbar vid datorn.
Heikki Tolvanen jobbar vid dataskyddsföretaget PrivacyAnt. Heikki Tolvanen jobbar vid datorn. Bild: Heikki Tolvanen porträtt,Heikki Tolvanen

EU-domstolen skriver också i sitt färska domslut att inte heller standardavtalsklausulerna möjliggör laglig dataöverföring till USA.

– Ingen borde nu överföra personuppgifter till USA med hjälp av de här två instrumenten, sammanfattar dataombudsman Reijo Aarnio.

Företag fortsätter överföringarna

Till exempel Microsoft litar ändå på de så kallade standardavtalsklausulerna för att kunna överföra data utanför EU. Det påpekar företagets dataskyddschef Julie Brill i ett blogginlägg.

Också Google har övergått till det här systemet för att kunna fortsätta överföra data om europeiska användare.

Det finns också några få undantag. Reijo Aarnio säger att till exempel personuppgifter som behövs för att skydda liv och hälsa får överföras också till USA.

Detsamma gäller om användaren har gett sitt uttryckliga tillstånd för en viss överföring.

Att personuppgifter lagras i ett visst land utanför unionen får ändå inte vara ett krav för att man ska få använda en viss tjänst.

Myndigheter kan skrida till åtgärder

Tolvanen säger att bollen nu ligger hos dataskyddsmyndigheterna i EU.

– De har makt att stoppa dataöverföringar till USA, säger han.

Dataskyddsmyndigheten i Berlin i Tyskland har redan kommit med ett sådant beslut.

Myndigheten beslutade kort efter EU-domslutet att man inte längre godkänner dataöverföringar från Berlin till länder där staten har rätt att komma åt datamaterialet, vilket alltså är fallet till exempel i USA.

Man tillägger att det för organisationer i Berlin nu till exempel gäller att använda molntjänster inom EU så att datamaterialet sparas inom unionen.

Övervakning också i Finland

Dataombudsmannens byrå i Finland har för sin del börjat övervaka hur företag överför data till USA.

– Vi har skickat en förfrågan till stora molnbaserade tjänster som verkar i Finland och frågat dem hur de reagerar på EU-domslutet och hur de nu kommer att ändra på sin praxis, säger han.

Aarnio säger att det är upp till de registeransvariga att se till att personuppgifter överförs och lagras på ett lagligt sätt.

– Det gäller för dem att vara i kontakt med de serviceproducenter de anlitar för att försäkra sig om att det är möjligt att få en tjänst där personuppgifter inte överförs till USA, säger han.

Ohållbar situation

Han tror också att det så småningom kommer att startas förhandlingar om hur de aktuella överföringarna av personuppgifter kunde utföras lagligt igen.

Det är nämligen inte hållbart för EU och USA att befinna sig i en sådan här juridisk limbo eftersom det kan få negativa konsekvenser för allt från handeln till de politiska relationerna.

– Jag vet inte hur det kommer att lyckas, för det överhängande hotet, eller damoklessvärdet, är USA:s system och de problem det ställer till med för dataskyddet. Jag förutspår att det kommer att bli ganska svåra förhandlingar, säger dataombudsman Reijo Aarnio.

virtuell verklighet + datorer + bredbandsnät + mobiltelefoner + internet + sociala nätverk + lösenord + databrott + teknik (apparater) + kommunikationsteknik + databaser + datakommunikation + pekskärm + telefoner + sökmotorer + dataskydd + e-postadresser