Senaste nytt från Safespring

Med Safespring får du en effektiv modell för leverans
av tjänst utan att förlora kontroll över din data.

Tidslinje över lagarna som format EU:s och USA:s personuppgiftsskydd

Publicerad 2018-08-02

Varför en tidslinje?

De senaste tjugo åren har Internet och det digitala samhället påverkat både privatpersoner, myndigheter och företag. Lagstiftningen från EU och USA gällande personuppgiftsskydd har gått åt två olika håll men försökt mötas på vissa punkter. Här följer en sammanfattning av det som leder fram till GDPR och CLOUD Act som idag är två av de gällande lagstiftningarna.

1995

1995-10-24: EU-parlamentet och EU-rådet beslutar om Dataskyddsdirektivet(1). Detta leder till införandet av Personuppgiftslagen (PUL) i Sverige(2) tre år senare.

1998

1998-10-24: Precis tre år efter Dataskyddsdirektivet(3) beslutas träder PUL i kraft i Sverige. Den tidigare Datalagen upphör då att gälla.

2000

2000-06-26: USA och EU-kommissionen sluter avtalet “Safe Harbor” som deklarerar att amerikanska organisationer som har själv-certifierat sig genom registrering via amerikansk Department of Commerce per automatik, om en viss mängd dokument finns, uppfyller EU:s krav om likvärdighet i lagstiftning för skydd av personuppgifter(4).

2002

2002-02-13: EU granskar de nu själv-certifierade organisationernas kravuppfyllnad och noterar att det ser rätt dåligt ut med kravuppfyllnad(5).

2006

2006-10-26: “USA Patriot Act” blir lag i USA. Patriot Act ger amerikanska myndigheter utökade möjligheter vid förundersökningar att inhämta information från IT-företag, t.ex. molnleverantörer, via s.k FISA-beordringar respektive National Security Letters(6).

2008

2008-12-02: En extern granskning genomförs av de nu 1 597 själv-certifierade organisationerna under Safe Harbor, varav 488 är rent felaktiga registreringar, vilket lämnar 1109 stycken korrekta registreringar. Utav dessa 1109 är det vara 348 stycken som på pappret uppfyller de ställda kraven. Rekommendation ges till EU att omförhandla Safe Harbor(7).

2010

2010-02-05: EU-kommissionen beslutar om Standard Contractual Clauses(8).

2011

2011-06-28: Microsoft UK förklarar att eftersom Patriot Act trumfar Safe Harbor och att Microsoft som bolag lyder under amerikansk lag, kan Microsoft ej undanhålla data från USA:s regering även om den är lagrad utanför USA enligt Patriot Act. Men “Stored Communications Act” förbjuder samtidigt detta. Detta lägger grunden för det senare omtalade rättsfallet “US vs. Microsoft”(9).

2011-08-18: Österrikaren Max Schrems anmäler 16 olika fall av övergrepp på hans integritet av Facebook till den irländska datainspektören då Facebook i Europa representeras av en irländsk filial(10).

2013

2013-06-05: Edward Snowden läcker en stor mängd dokument från NSA till journalister. Det blir känt att NSA har dels genom hemlig bakdörrs-access och dels genom avlyssning, tillgång till en stor mängd information på Internet innehållande personuppgifter, där icke-amerikanska medborgare inte ges något särskilt skydd alls. Många har misstänkt detta men nu släpps alltså en mängd dokument som bekräftar vidden av flera stora program för access(11).

2013-12-04: En domare i södra distriktet i New York överlämnar en husrannsakningsorder för data som visade sig finnas lagrad på irländska servrar till Microsoft. Microsoft hävdar att de ej kan tillmötesgå polismyndigheten och ber dem istället använda de bilaterala samarbetsavtal (MLAT - Mutual Legal Assistance Treaty) som redan finns mellan USA och Irland, och begära datat av Irländska myndigheter istället. Amerikanska regeringen anser inte detta är nödvändigt och man går till domstol(12).

2013-06-26: Max Schrems skickar in sitt 23:e klagomål angående Facebook till den irländska datainspektören, som ej vill ta upp ärendet vilket Schrems överklagar. Klagomålet handlar om att Facebooks överförande av data till USA innebär att data överförs till NSA, givet de nya avslöjanden som kommit från Edward Snowden, och att det i ljuset av detta knappast kan anses finnas likvärdiga skyddsvillkor av personuppgifter i USA som EU-lagstiftningen kräver.

Kanske det viktigaste kärnargument är en kraftig definitionsskillnad mellan amerikansk respektive europeisk rätt kring när ett intrång i en persons integritet anses ha gjort vid avlyssning.

I amerikansk rätt anses intrånget först ha gjorts när en människa har läst innehållet i fråga, medan, enligt europeisk rätt sker intrånget redan när den elektroniska informationen som representerar den personliga informationen behandlas, oavsett om en människa läst det eller ej.

Irländska datainspektören vill ej ta upp detta med hänvisning till Safe Harbor-beslutet som säger att USA är ett godkänt tredje land, och att datainspektören därför ej kan utreda frågan, samt att om inte Schrems kan bevisa att han blivit avlyssnad av NSA finns det inget att utreda. Max överklagar till domstol som i sin tur hänvisar fallet till EU-domstolen för ett förhandsbeslut då “CFR” har trätt i kraft efter Safe Harbor antogs.

2015

2015-10-06: EU-domstolen beslutar i sitt svar till den irländska domstolen att Safe Harbor är ogiltigt och upphör därför i sin helhet att gälla. Organisationer som baserar sig på avtalet för sin dataöverföring ges 3 månader respit av Artikel 29-arbetsgruppen innan de Europeiska datainspektionerna ska börja granska fall, samt, att datainspektörer visst kan utreda liknande fall(13)(14)(15).

2015-12-01: I december reste Schrems på nytt frågan till den irländska dataskyddsmyndigheten, gällande att EU-domstolsbeslutet bör appliceras på Facebook i sin helhet, dvs inklusive SCCs men även Privacy Shield, som eftersom de innehåller samma undantag för massavlyssning som Safe Harbor hade(16). Irländska datainspektören sade initialt att Schrems oro över EU-medborgares möjlighet till rättelse i amerikansk domstol vid massavlyssning är välgrundad.

2016

2016-02-02: Andra februari kommer EU-kommissionen överens med USA om “EU-US Privacy Shield”, en ersättning av det tidigare Safe Harbor.

Privacy Shield adresserar en del av bristerna i Safe Harbor, men inte alla(17). T.ex. har ingenting förändrats vad gäller diskrepansen mellan lagstiftningen i USA och EU vad avser när själva intrånget i en persons integritet sker vid avlyssning.

2018

2018-04-12: Irländska domstolen kommer vidare med Schrems 2.0 och hänvisar sina frågor till EU-domstolen efter en överklagan från Facebook nekats. Schrems kommenterar:

“The question in this case does not seem to be if Facebook can win it, but to what extent the Court of Justice will prohibit Facebook’s EU-US data transfers.”

He added that, in the long-term, “the only reasonable solution is to cut back on mass surveillance laws”. If such a solution isn’t available between the EU and US, he said,

“Facebook would have to split global and US services in two systems and keep European data outside of reach for US authorities, or face billions in penalties under the upcoming EU data protection regulation”(18).

2018-03-23: CLOUD Act passerar som lag. Lagen gör bland annat ett tillägg till amerikanska “Stored Communications Act” som möjliggör för amerikanska bolag att utlämna information oavsett var den är lagrad, utan någon hänsyn till det eventuella andra landets lagstiftning.

Lagen öppnar också för att presidenten kan ingå bilaterala avtal med andra länder kring möjlighet för dem att söka utlämning av information från USA - förfrågningar som dock måste granskas före exekvering.

2018-04-17: US vs. Microsoft-överklagan till amerikanska Supreme Court läggs ner på grund av att CLOUD Act har gjort fallet onödigt. US gjorde om dess begäran om utlämnande av information med den nya lagstiftningen och ingen tvist föreligger längre mellan Microsoft och US.


Källor

  1. Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995
  2. Personuppgiftslagen (1998:204)
  3. Dataskyddsdirektivet
  4. Beslut om Safe Harbor-procedurens duglighet.
  5. EU-kommissionen ang Safe Harbor
  6. The USA Patriot Act.
  7. Galexia, 2008
  8. Beslut om Standard Contractual Clauses
  9. ZDNet, 2011
  10. Original complaints by Max Schrems
  11. Timeline of Edward Snowden’s revelations, Al Jazeera
  12. CDT, 2014
  13. C‐362/14, EU:C:2015:650
  14. European Parliament - From Safe Harbour to Privacy Shield
  15. (Uttalande av Artikel 29 arbetsgruppen
  16. Max Schrems uppdaterade klagomål ang Facebook och PRISM
  17. EU-kommissionens beslut om EU-US Privacy Shield
  18. Rebecca Hill, The Register
Safespring Logotyp

Senaste inläggen

  • Tidslinje över lagarna som format EU:s och USA:s personuppgiftsskydd
  • MeetUp den 29/8 i Solna Business Park
  • Säkra molntjänster från Safespring löser tekniska utmaningar för IVBAR
  • Med CLOUD act kan USA begära data från svenska och norska verksamheter
  • Safespring bjuder in till inspirationsfrukost

  • KONTAKTA
    SAFESPRING