EUs nye SCC endrar ikkje noko

Eg viser til mine tidligare postingar om Schrems II-domen:

4. juni kom det nye Standard Contractual Clauses for internasjonale overføringar. Eg har lese gjennom Annex to the COMMISSION IMPLEMENTING DECISION on standard contractual clauses for the transfer of personal data to third countries pursuant to Regulation (EU) 2016/679. Rull ned til side 22, SECTION III – LOCAL LAWS AND OBLIGATIONS IN CASE OF ACCESS BY PUBLIC AUTHORITIES og Clause 14 Local laws and practices affecting compliance with the Clauses.

(a) The Parties warrant that they have no reason to believe that the laws and practices in the third country of destination applicable to the processing of the personal data by the data importer, including any requirements to disclose personal data or measures authorising access by public authorities, prevent the data importer from fulfilling its obligations under these Clauses. This is based on the understanding that laws and practices that respect the essence of the fundamental rights and freedoms and do not exceed what is necessary and proportionate in a democratic society to safeguard one of the objectives listed in Article 23(1) of Regulation (EU) 2016/679, are not in contradiction with these Clauses.

Her skal handsamingsansvarleg og datahandsamar garantere at datahandsamar ikkje kan bli pålagt å utlevere i strid med GDPR og menneskerettane i EU. Det krev ei stor innsikt i både lovverk og praksis i landet (utanfor den europeiske sone eller land med tilstrekkelegheitserklæring for personvern).

Eg har utheva ei setning som eg meinar har relevans med tanke på amerikanske selskap. Om ikkje eg hugsar feil fastslo EU Court of Justice (EUCJ) at overvakinga i USA exceed what is necessary and proportionate in a democratic society. Domen slo fast at overvakingslovene i USA er eit brot på GDPR og menneskerettane nedfelt i mennesrettscharteret i EU. Vi veit dermed at det for amerikanske selskap/konsern (Microsoft, Google, Apple, Oracle osv.) ikkje vil vere mogleg å kunne garantere noko i tråd med Clause 14.

Eg registrerer også at ein har fått inn ei fotnote 12 som strekker seg over nederste del av side 22 og 23:

As regards the impact of such laws and practices on compliance with these Clauses, different elements may be considered as part of an overall assessment. Such elements may include relevant and documented practical experience with prior instances of requests for disclosure from public authorities, or the absence of such requests, covering a sufficiently representative time-frame. This refers in particular to internal records or other documentation, drawn up on a continuous basis in accordance with due diligence and certified at senior management level, provided that this information can be lawfully shared with third parties. Where this practical experience is relied upon to conclude that the data importer will not be prevented from complying with these Clauses, it needs to be supported by other relevant, objective elements, and it is for the Parties to consider carefully whether these elements together carry sufficient weight, in terms of their reliability and representativeness, to support this conclusion. In particular, the Parties have to take into account whether their practical experience is corroborated and not contradicted by publicly available or otherwise accessible, reliable information on the existence or absence of requests within the same sector and/or the application of the law in practice, such as case law and reports by independent oversight bodies.

Eg har utheva noko sidan innsyn etter Foreign Surveillance Act (FISA) ikkje legg til rette for varsling av handsamingsansvarleg eller objektet/personen etterretninga vil ha innsyn i, slik at ein kan bestride innsynet i ein rett. Verksemda vil(/kan) bli pålagt «gag order» som gjer at dei har teieplikt om innsyn. Ergo kan ein heller ikkje rapportere at det har vore innsyn.

Oppsummering:

  • Amerikanske tenester kan ikkje brukast til å handsame persondata (i klartekst), sjølv med nye SCC.
  • USA må endre sine overvakingslover før det kan bli lovleg.
  • I praksis må du bruke skytenester fullt ut eigd og levert innafor det europeiske økonomiske område (EEA) eller i land med tilstrekkelegheitserklæring for personvern. For alle andre stadar vert det kravd omfattande innsikt, forståing og dokumentasjon av lov og praksis i landet til datahandsamar og eventuelt landet der datahandsaminga finn stad i, til at det vil være for kostnads- og tidskrevande å kartlegge og følgje opp for mange verksemder.

Legg att eit svar

Fill in your details below or click an icon to log in:

WordPress.com logo

Du kommenterer no med WordPress.com-kontoen din. Logg ut /  Endre )

Google photo

Du kommenterer no med Google-kontoen din. Logg ut /  Endre )

Twitter-bilde

Du kommenterer no med Twitter-kontoen din. Logg ut /  Endre )

Facebook-foto

Du kommenterer no med Facebook-kontoen din. Logg ut /  Endre )

Koplar til %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.