blogg

Tidslinje over lovgivningen som har formet databeskyttelse i EU og USA

Denne tekst er automatisk oversat for din bekvemmelighed. Du kan læse teksten på:

Engelsk Svensk (original) Giv feedback
.

En sammenfatning av hendelsene som ledet frem til GDPR og CLOUD Act, som i dag er to av de gjeldende lovverkene for blant annet vern av personopplysninger og utlevering av data.

Hvorfor en tidslinje?

De siste tjue årene har Internett og det digitale samfunnet påvirket både privatpersoner, myndigheter og virksomheter. Lovgivningen fra EU og USA om vern av personopplysninger har gått i to ulike retninger, men forsøkt å møtes på enkelte punkter. Her følger en sammenfatning av det som leder frem til GDPR og CLOUD Act, som i dag er to av de gjeldende lovverkene.


    Les whitepaper

1995

1995-10-24 EU-parlamentet og EU-rådet beslutter Databeskyttelsesdirektivet1. Dette fører til innføringen av Personopplysningsloven (PUL) i Sverige2 tre år senere.

1998

1998-10-24 Nøyaktig tre år etter Databeskyttelsesdirektivet3 trer PUL i kraft i Sverige. Den tidligere Datalagen opphører da å gjelde.

2000

2000-06-26 USA og EU-kommisjonen inngår avtalen «Safe Harbor», som erklærer at amerikanske organisasjoner som har selv-sertifisert seg gjennom registrering via det amerikanske Department of Commerce automatisk, dersom en viss mengde dokumentasjon finnes, oppfyller EUs krav om likeverdighet i lovgivningen for vern av personopplysninger4.

2002

2002-02-13 EU gransker de nå selv-sertifiserte organisasjonenes etterlevelse og konstaterer at det ser ganske dårlig ut med kravoppfyllelsen5.

2006

2006-10-26 «USA Patriot Act» blir lov i USA. Patriot Act gir amerikanske myndigheter utvidede muligheter under etterforskninger til å innhente informasjon fra IT-selskaper, f.eks. skyleverandører, via såkalte FISA-pålegg og National Security Letters6.

2008

2008-12-02 En ekstern gjennomgang gjennomføres av de nå 1 597 selv-sertifiserte organisasjonene under Safe Harbor, hvorav 488 er direkte feilaktige registreringer, noe som etterlater 1109 korrekte registreringer. Av disse 1109 er det bare 348 som på papiret oppfyller de stilte kravene. Det gis en anbefaling til EU om å reforhandle Safe Harbor7.

2010

2010-02-05 EU-kommisjonen vedtar Standard Contractual Clauses8.

2011

2011-06-28 Microsoft UK forklarer at ettersom Patriot Act trumfer Safe Harbor, og at Microsoft som selskap er underlagt amerikansk lov, kan Microsoft ikke holde tilbake data fra USAs regjering selv om den er lagret utenfor USA, i henhold til Patriot Act. Men «Stored Communications Act» forbyr samtidig dette. Dette legger grunnlaget for det senere omtalte rettstilfellet «US vs. Microsoft»9.

2011-08-18 Østerrikeren Max Schrems anmelder 16 ulike tilfeller av overgrep mot hans personvern av Facebook til den irske datatilsynsmyndigheten, da Facebook i Europa representeres av en irsk filial10.

2013

2013-06-05 Edward Snowden lekker en stor mengde dokumenter fra NSA til journalister. Det blir kjent at NSA både gjennom hemmelig bakdørstilgang og gjennom avlytting har tilgang til en stor mengde informasjon på Internett som inneholder personopplysninger, der ikke-amerikanske borgere ikke gis noe særskilt vern i det hele tatt. Mange har mistenkt dette, men nå slippes altså en mengde dokumenter som bekrefter omfanget av flere store programmer for tilgang11.

2013-12-04 En dommer i det sørlige distriktet i New York utsteder en ransakingsordre for data som viste seg å være lagret på irske servere hos Microsoft. Microsoft hevder at de ikke kan etterkomme politimyndigheten og ber dem i stedet bruke de bilaterale samarbeidsavtalene (MLAT - Mutual Legal Assistance Treaty) som allerede finnes mellom USA og Irland, og be om dataene fra irske myndigheter i stedet. Den amerikanske regjeringen anser ikke dette som nødvendig, og saken bringes inn for domstol12.

2013-06-26 Max Schrems sender inn sin 23. klage angående Facebook til den irske datatilsynsmyndigheten, som ikke vil ta opp saken, hvilket Schrems anker. Klagen handler om at Facebooks overføring av data til USA innebærer at data overføres til NSA, gitt de nye avsløringene som er kommet fra Edward Snowden, og at det i lys av dette neppe kan anses å finnes likeverdige vilkår for vern av personopplysninger i USA som EU-lovgivningen krever.

Kanskje det viktigste kjerneargumentet er en markant definisjonsforskjell mellom amerikansk og europeisk rett når et inngrep i en persons integritet anses å ha skjedd ved avlytting.

I amerikansk rett anses inngrepet først å ha skjedd når et menneske har lest det aktuelle innholdet, mens det ifølge europeisk rett skjer allerede når den elektroniske informasjonen som representerer de personlige opplysningene behandles, uavhengig av om et menneske har lest det eller ikke.

Den irske datatilsynsmyndigheten vil ikke ta dette opp med henvisning til Safe Harbor-vedtaket som sier at USA er et godkjent tredjeland, og at tilsynet derfor ikke kan utrede spørsmålet, samt at hvis ikke Schrems kan bevise at han har blitt avlyttet av NSA, finnes det ingenting å utrede. Max anker til domstol, som på sin side henviser saken til EU-domstolen for en prejudisiell avgjørelse, ettersom «CFR» har trådt i kraft etter at Safe Harbor ble vedtatt.

2015

2015-10-06 EU-domstolen beslutter i sitt svar til den irske domstolen at Safe Harbor er ugyldig og opphører derfor i sin helhet å gjelde. Organisasjoner som baserer seg på avtalen for sin dataoverføring gis 3 måneders utsettelse av Artikkel 29-arbeidsgruppen før de europeiske datatilsynene skal begynne å granske saker, samt at datatilsyn faktisk kan utrede lignende saker13 14 15.

2015-12-01 I desember tok Schrems på nytt opp spørsmålet med den irske datatilsynsmyndigheten, om at EU-domstolens avgjørelse bør anvendes på Facebook i sin helhet, dvs. inkludert SCCs, men også Privacy Shield, siden de inneholder de samme unntakene for masseavlytting som Safe Harbor hadde16. Den irske datatilsynsmyndigheten sa innledningsvis at Schrems’ bekymring over EU-borgeres mulighet til retting i amerikansk domstol ved masseavlytting er velbegrunnet.

2016

2016-02-02 Den andre februar blir EU-kommisjonen enig med USA om «EU-US Privacy Shield», en erstatning for det tidligere Safe Harbor.

Privacy Shield adresserer noen av manglene i Safe Harbor, men ikke alle17. For eksempel er ingenting endret når det gjelder diskrepansen mellom lovgivningen i USA og EU hva gjelder når selve inngrepet i en persons integritet skjer ved avlytting.

2018

2018-04-12 Den irske domstolen går videre med Schrems 2.0 og henviser sine spørsmål til EU-domstolen etter at en anke fra Facebook ble avslått. Schrems kommenterer:

“The question in this case does not seem to be if Facebook can win it, but to what extent the Court of Justice will prohibit Facebook’s EU-US data transfers.”

Han la til at på lang sikt er “the only reasonable solution is to cut back on mass surveillance laws”. Hvis en slik løsning ikke er tilgjengelig mellom EU og USA, sa han,

“Facebook would have to split global and US services in two systems and keep European data outside of reach for US authorities, or face billions in penalties under the upcoming EU data protection regulation”18.

2018-03-23 CLOUD Act vedtas som lov. Loven gjør blant annet et tillegg til den amerikanske «Stored Communications Act» som muliggjør for amerikanske selskaper å utlevere informasjon uavhengig av hvor den er lagret, uten hensyn til det eventuelle andre landets lovgivning.

Loven åpner også for at presidenten kan inngå bilaterale avtaler med andre land om mulighet for dem til å be om utlevering av informasjon fra USA – forespørsler som likevel må granskes før de kan gjennomføres.

2018-04-17 Anken i US vs. Microsoft til USAs høyesterett legges ned fordi CLOUD Act har gjort saken unødvendig. USA gjorde om sin begjæring om utlevering av informasjon med den nye lovgivningen, og ingen tvist foreligger lenger mellom Microsoft og USA.


    Les whitepaper

Kilder

  1. Europaparlamentets og rådets direktiv 95/46/EG av 24. oktober 1995 ↩︎

  2. Personopplysningsloven (1998:204) ↩︎

  3. Databeskyttelsesdirektivet ↩︎

  4. Vedtak om Safe Harbor-prosedyrens egnethet ↩︎

  5. EU-kommisjonen om Safe Harbor ↩︎

  6. The USA Patriot Act ↩︎

  7. Galexia, 2008 ↩︎

  8. Vedtak om Standard Contractual Clauses ↩︎

  9. ZDNet, 2011 ↩︎

  10. Opprinnelige klager fra Max Schrems ↩︎

  11. Tidslinje over Edward Snowdens avsløringer, Al Jazeera ↩︎

  12. CDT, 2014 ↩︎

  13. C‐362/14, EU:C:2015:650 ↩︎

  14. Europaparlamentet - Fra Safe Harbour til Privacy Shield ↩︎

  15. Uttalelse fra Artikkel 29-arbeidsgruppen ↩︎

  16. Max Schrems oppdaterte klage om Facebook og PRISM ↩︎

  17. EU-kommisjonens vedtak om EU-US Privacy Shield ↩︎

  18. Rebecca Hill, The Register ↩︎

Safespring er en rask og fleksibel sky- og IT-infrastrukturtjeneste.

Som en nordisk løsning gjør Safespring det enklere for deg å oppfylle lover og regler, som GDPR.

Lær mer om

Se demo

La en av våre Cloud Architects vise deg vår plattform.

Se demo
×
Safespring Linkedin Safespring X Safespring GitHub Safespring YouTube Safespring Facebook

Velg språk

Norsk (Bokmål) flag English flag Svenska flag Dansk flag

© Safespring AS (918 269 649) 2017-2026