Nyheter og perspektiver

Tidslinje over lovgivningen som har formet databeskyttelse i EU og USA

Denne teksten er automatisk oversatt for din bekvemmelighet. Du kan lese teksten på:

Engelsk Svensk (original) Gi tilbakemelding
Play
00:00 / 00:00

En sammenfatning av hendelsene som ledet frem til GDPR og CLOUD Act, som i dag er to av de gjeldende lovverkene for blant annet vern av personopplysninger og utlevering av data.

Hvorfor en tidslinje?

De siste tjue årene har Internett og det digitale samfunnet påvirket både privatpersoner, myndigheter og virksomheter. Lovgivningen fra EU og USA om vern av personopplysninger har gått i to ulike retninger, men forsøkt å møtes på enkelte punkter. Her følger en sammenfatning av det som leder frem til GDPR og CLOUD Act, som i dag er to av de gjeldende lovverkene.


   Les whitepaper
  1. 1995
    24. oktober

    EU-parlamentet og EU-rådet beslutter Databeskyttelsesdirektivet1. Dette fører til innføringen av Personopplysningsloven (PUL) i Sverige2 tre år senere.

  2. 1998
    24. oktober

    Nøyaktig tre år etter Databeskyttelsesdirektivet3 trer PUL i kraft i Sverige. Den tidligere Datalagen opphører da å gjelde.

  3. 2000
    26. juni

    USA og EU-kommisjonen inngår avtalen «Safe Harbor», som erklærer at amerikanske organisasjoner som har selv-sertifisert seg gjennom registrering via det amerikanske Department of Commerce automatisk, dersom en viss mengde dokumentasjon finnes, oppfyller EUs krav om likeverdighet i lovgivningen for vern av personopplysninger4.

  4. 2002
    13. februar

    EU gransker de nå selv-sertifiserte organisasjonenes etterlevelse og konstaterer at det ser ganske dårlig ut med kravoppfyllelsen5.

  5. 2006
    26. oktober

    «USA Patriot Act» blir lov i USA. Patriot Act gir amerikanske myndigheter utvidede muligheter under etterforskninger til å innhente informasjon fra IT-selskaper, f.eks. skyleverandører, via såkalte FISA-pålegg og National Security Letters6.

  6. 2008
    2. desember

    En ekstern gjennomgang gjennomføres av de nå 1 597 selv-sertifiserte organisasjonene under Safe Harbor, hvorav 488 er direkte feilaktige registreringer, noe som etterlater 1109 korrekte registreringer. Av disse 1109 er det bare 348 som på papiret oppfyller de stilte kravene. Det gis en anbefaling til EU om å reforhandle Safe Harbor7.

  7. 2010
    5. februar

    EU-kommisjonen vedtar Standard Contractual Clauses8.

  8. 2011
    28. juni

    Microsoft UK forklarer at ettersom Patriot Act trumfer Safe Harbor, og at Microsoft som selskap er underlagt amerikansk lov, kan Microsoft ikke holde tilbake data fra USAs regjering selv om den er lagret utenfor USA, i henhold til Patriot Act. Men «Stored Communications Act» forbyr samtidig dette. Dette legger grunnlaget for det senere omtalte rettstilfellet «US vs. Microsoft»9.

  9. 2011
    18. august

    Østerrikeren Max Schrems anmelder 16 ulike tilfeller av overgrep mot hans personvern av Facebook til den irske datatilsynsmyndigheten, da Facebook i Europa representeres av en irsk filial10.

  10. 2013
    5. juni

    Edward Snowden lekker en stor mengde dokumenter fra NSA til journalister. Det blir kjent at NSA både gjennom hemmelig bakdørstilgang og gjennom avlytting har tilgang til en stor mengde informasjon på Internett som inneholder personopplysninger, der ikke-amerikanske borgere ikke gis noe særskilt vern i det hele tatt. Mange har mistenkt dette, men nå slippes altså en mengde dokumenter som bekrefter omfanget av flere store programmer for tilgang11.

  11. 2013
    4. desember

    En dommer i det sørlige distriktet i New York utsteder en ransakingsordre for data som viste seg å være lagret på irske servere hos Microsoft. Microsoft hevder at de ikke kan etterkomme politimyndigheten og ber dem i stedet bruke de bilaterale samarbeidsavtalene (MLAT - Mutual Legal Assistance Treaty) som allerede finnes mellom USA og Irland, og be om dataene fra irske myndigheter i stedet. Den amerikanske regjeringen anser ikke dette som nødvendig, og saken bringes inn for domstol12.

  12. 2013
    26. juni

    Max Schrems sender inn sin 23. klage angående Facebook til den irske datatilsynsmyndigheten, som ikke vil ta opp saken, hvilket Schrems anker. Klagen handler om at Facebooks overføring av data til USA innebærer at data overføres til NSA, gitt de nye avsløringene som er kommet fra Edward Snowden, og at det i lys av dette neppe kan anses å finnes likeverdige vilkår for vern av personopplysninger i USA som EU-lovgivningen krever.

    Kanskje det viktigste kjerneargumentet er en markant definisjonsforskjell mellom amerikansk og europeisk rett når et inngrep i en persons integritet anses å ha skjedd ved avlytting.

    I amerikansk rett anses inngrepet først å ha skjedd når et menneske har lest det aktuelle innholdet, mens det ifølge europeisk rett skjer allerede når den elektroniske informasjonen som representerer de personlige opplysningene behandles, uavhengig av om et menneske har lest det eller ikke.

    Den irske datatilsynsmyndigheten vil ikke ta dette opp med henvisning til Safe Harbor-vedtaket som sier at USA er et godkjent tredjeland, og at tilsynet derfor ikke kan utrede spørsmålet, samt at hvis ikke Schrems kan bevise at han har blitt avlyttet av NSA, finnes det ingenting å utrede. Max anker til domstol, som på sin side henviser saken til EU-domstolen for en prejudisiell avgjørelse, ettersom «CFR» har trådt i kraft etter at Safe Harbor ble vedtatt.

  13. 2015
    6. oktober

    EU-domstolen beslutter i sitt svar til den irske domstolen at Safe Harbor er ugyldig og opphører derfor i sin helhet å gjelde. Organisasjoner som baserer seg på avtalen for sin dataoverføring gis 3 måneders utsettelse av Artikkel 29-arbeidsgruppen før de europeiske datatilsynene skal begynne å granske saker, samt at datatilsyn faktisk kan utrede lignende saker13 14 15.

  14. 2015
    1. desember

    I desember tok Schrems på nytt opp spørsmålet med den irske datatilsynsmyndigheten, om at EU-domstolens avgjørelse bør anvendes på Facebook i sin helhet, dvs. inkludert SCCs, men også Privacy Shield, siden de inneholder de samme unntakene for masseavlytting som Safe Harbor hadde16. Den irske datatilsynsmyndigheten sa innledningsvis at Schrems’ bekymring over EU-borgeres mulighet til retting i amerikansk domstol ved masseavlytting er velbegrunnet.

  15. 2016
    2. februar

    Den andre februar blir EU-kommisjonen enig med USA om «EU-US Privacy Shield», en erstatning for det tidligere Safe Harbor.

    Privacy Shield adresserer noen av manglene i Safe Harbor, men ikke alle17. For eksempel er ingenting endret når det gjelder diskrepansen mellom lovgivningen i USA og EU hva gjelder når selve inngrepet i en persons integritet skjer ved avlytting.

  16. 2018
    12. april

    Den irske domstolen går videre med Schrems 2.0 og henviser sine spørsmål til EU-domstolen etter at en anke fra Facebook ble avslått. Schrems kommenterer:

    “The question in this case does not seem to be if Facebook can win it, but to what extent the Court of Justice will prohibit Facebook’s EU-US data transfers.”

    Han la til at på lang sikt er “the only reasonable solution is to cut back on mass surveillance laws”. Hvis en slik løsning ikke er tilgjengelig mellom EU og USA, sa han,

    “Facebook would have to split global and US services in two systems and keep European data outside of reach for US authorities, or face billions in penalties under the upcoming EU data protection regulation”18.

  17. 2018
    23. mars

    CLOUD Act vedtas som lov. Loven gjør blant annet et tillegg til den amerikanske «Stored Communications Act» som muliggjør for amerikanske selskaper å utlevere informasjon uavhengig av hvor den er lagret, uten hensyn til det eventuelle andre landets lovgivning.

    Loven åpner også for at presidenten kan inngå bilaterale avtaler med andre land om mulighet for dem til å be om utlevering av informasjon fra USA – forespørsler som likevel må granskes før de kan gjennomføres.

  18. 2018
    17. april

    Anken i US vs. Microsoft til USAs høyesterett legges ned fordi CLOUD Act har gjort saken unødvendig. USA gjorde om sin begjæring om utlevering av informasjon med den nye lovgivningen, og ingen tvist foreligger lenger mellom Microsoft og USA.


   Les whitepaper

Kilder

  1. Europaparlamentets og rådets direktiv 95/46/EG av 24. oktober 1995
  2. Personopplysningsloven (1998:204)
  3. Databeskyttelsesdirektivet
  4. Vedtak om Safe Harbor-prosedyrens egnethet
  5. EU-kommisjonen om Safe Harbor
  6. The USA Patriot Act
  7. Galexia, 2008
  8. Vedtak om Standard Contractual Clauses
  9. ZDNet, 2011
  10. Opprinnelige klager fra Max Schrems
  11. Tidslinje over Edward Snowdens avsløringer, Al Jazeera
  12. CDT, 2014
  13. C‐362/14, EU:C:2015:650
  14. Europaparlamentet - Fra Safe Harbour til Privacy Shield
  15. Uttalelse fra Artikkel 29-arbeidsgruppen
  16. Max Schrems oppdaterte klage om Facebook og PRISM
  17. EU-kommisjonens vedtak om EU-US Privacy Shield
  18. Rebecca Hill, The Register

Safespring er en rask og fleksibel sky- og IT-infrastrukturtjeneste.

Som en nordisk løsning gjør Safespring det enklere for deg å oppfylle lover og regler, som GDPR.

Lær mer om

Se demo

La en av våre Cloud Architects vise deg vår plattform.

Se demo
Safespring Linkedin Safespring X Safespring GitHub Safespring YouTube Safespring Facebook

Velg språk

Norsk (Bokmål) flag

Sertifiseringer

ISO 27001 FR2000

© Safespring AS (918 269 649) 2017-2026