blog

Tidslinje over de love, der har formet databeskyttelsen i EU og USA

Denne tekst er automatisk oversat for din bekvemmelighed. Du kan læse teksten på:

Engelsk Svensk (original) Giv feedback
.

En sammenfatning af begivenhederne, der førte frem til GDPR og CLOUD Act, som i dag er to af de gældende lovgivninger for blandt andet beskyttelse af personoplysninger og udlevering af data.

Hvorfor en tidslinje?

De seneste tyve år har internettet og det digitale samfund påvirket både privatpersoner, myndigheder og virksomheder. Lovgivningen fra EU og USA vedrørende beskyttelse af personoplysninger har bevæget sig i to forskellige retninger, men har forsøgt at mødes på visse punkter. Her følger en sammenfatning af det, der fører frem til GDPR og CLOUD Act, som i dag er to af de gældende lovgivninger.


    Läs white paper

1995

1995-10-24 EU-Parlamentet og EU-Rådet vedtager databeskyttelsesdirektivet1. Dette fører til indførelsen af persondataloven (PUL) i Sverige2 tre år senere.

1998

1998-10-24 Præcis tre år efter databeskyttelsesdirektivet3 træder PUL i kraft i Sverige. Den tidligere datalov ophører dermed med at gælde.

2000

2000-06-26 USA og Europa-Kommissionen indgår aftalen “Safe Harbor”, som erklærer, at amerikanske organisationer, der har selv-certificeret sig ved registrering via det amerikanske Department of Commerce, automatisk – hvis en vis mængde dokumentation foreligger – opfylder EU’s krav om tilsvarende beskyttelsesniveau i lovgivningen for beskyttelse af personoplysninger4.

2002

2002-02-13 EU gennemgår nu de selv-certificerede organisationers kravopfyldelse og konstaterer, at det ser temmelig skidt ud med efterlevelsen5.

2006

2006-10-26 “USA Patriot Act” bliver lov i USA. Patriot Act giver amerikanske myndigheder udvidede muligheder under efterforskninger for at indhente information fra it-virksomheder, f.eks. cloud-udbydere, via såkaldte FISA-påbud og National Security Letters6.

2008

2008-12-02 En ekstern gennemgang gennemføres af de nu 1.597 selv-certificerede organisationer under Safe Harbor, hvoraf 488 er direkte fejlagtige registreringer, hvilket efterlader 1.109 korrekte registreringer. Ud af disse 1.109 er det kun 348, der på papiret opfylder de fastsatte krav. EU anbefales at genforhandle Safe Harbor7.

2010

2010-02-05 Europa-Kommissionen vedtager standardkontraktbestemmelserne8.

2011

2011-06-28 Microsoft UK forklarer, at eftersom Patriot Act trumfer Safe Harbor, og at Microsoft som selskab er underlagt amerikansk lov, kan Microsoft ikke undlade at udlevere data til USA’s regering, selv om de er lagret uden for USA, i henhold til Patriot Act. Men “Stored Communications Act” forbyder samtidig dette. Dette lægger grundlaget for det senere omtalte retssag “US vs. Microsoft”9.

2011-08-18 Østrigeren Max Schrems indgiver 16 forskellige klager over Facebooks krænkelser af hans privatliv til den irske datatilsynsmyndighed, da Facebook i Europa repræsenteres af en irsk filial10.

2013

2013-06-05 Edward Snowden lækker en stor mængde dokumenter fra NSA til journalister. Det bliver kendt, at NSA både via hemmelig bagdørsadgang og via aflytning har adgang til en stor mængde information på internettet indeholdende personoplysninger, hvor ikke-amerikanske statsborgere ikke gives nogen særlig beskyttelse overhovedet. Mange har haft mistanke om dette, men nu offentliggøres altså en mængde dokumenter, der bekræfter omfanget af flere store adgangsprogrammer11.

2013-12-04 En dommer i det sydlige distrikt i New York udsteder en ransagningskendelse for data, som viste sig at være lagret på irske servere, til Microsoft. Microsoft hævder, at de ikke kan imødekomme politimyndigheden og beder i stedet om, at man bruger de bilaterale samarbejdsaftaler (MLAT - Mutual Legal Assistance Treaty), der allerede findes mellem USA og Irland, og anmoder de irske myndigheder om data i stedet. Den amerikanske regering mener ikke, at dette er nødvendigt, og sagen går i retten12.

2013-06-26 Max Schrems indsender sin 23. klage vedrørende Facebook til den irske datatilsynsmyndighed, som ikke vil tage sagen op, hvilket Schrems anker. Klagen handler om, at Facebooks overførsel af data til USA indebærer, at data overføres til NSA, givet de nye afsløringer fra Edward Snowden, og at det i lyset heraf næppe kan anses for, at der findes tilsvarende beskyttelsesvilkår for personoplysninger i USA, som EU-lovgivningen kræver.

Måske det vigtigste kerneargument er en markant definitionsforskel mellem amerikansk og europæisk ret omkring, hvornår et indgreb i en persons privatliv anses for at være sket ved aflytning.

I amerikansk ret anses indgrebet først for at være sket, når et menneske har læst det pågældende indhold, mens det ifølge europæisk ret sker allerede, når den elektroniske information, der repræsenterer de personlige oplysninger, behandles, uanset om et menneske har læst det eller ej.

Den irske datatilsynsmyndighed vil ikke tage dette op med henvisning til Safe Harbor-beslutningen, som siger, at USA er et godkendt tredjeland, og at tilsynsmyndigheden derfor ikke kan undersøge spørgsmålet, samt at hvis ikke Schrems kan bevise, at han er blevet aflyttet af NSA, er der intet at undersøge. Max anker til domstolen, som på sin side henviser sagen til EU-Domstolen for en præjudiciel afgørelse, da “CFR” trådte i kraft efter, at Safe Harbor blev vedtaget.

2015

2015-10-06 EU-Domstolen afsiger i sit svar til den irske domstol dom om, at Safe Harbor er ugyldig og derfor ophører med at gælde i sin helhed. Organisationer, der baserer deres dataoverførsler på aftalen, gives 3 måneders respit af Artikel 29-arbejdsgruppen, før de europæiske datatilsyn skal begynde at granske sager, samt, at tilsynsmyndighederne faktisk kan undersøge lignende sager13 14 15.

2015-12-01 I december rejste Schrems på ny spørgsmålet for den irske databeskyttelsesmyndighed om, at EU-Domstolens afgørelse bør anvendes på Facebook i sin helhed, dvs. inklusive SCC’er, men også Privacy Shield, fordi de indeholder de samme undtagelser for masseovervågning, som Safe Harbor havde16. Den irske datatilsynsmyndighed sagde indledningsvis, at Schrems’ bekymringer over EU-borgeres mulighed for retsmidler ved amerikanske domstole i tilfælde af masseovervågning er velbegrundede.

2016

2016-02-02 Den 2. februar bliver Europa-Kommissionen enig med USA om “EU-US Privacy Shield”, en afløser for det tidligere Safe Harbor.

Privacy Shield adresserer nogle af manglerne i Safe Harbor, men ikke alle17. For eksempel er intet ændret med hensyn til diskrepansen mellem lovgivningen i USA og EU om, hvornår selve indgrebet i en persons privatliv sker ved aflytning.

2018

2018-04-12 Irsk domstol går videre med Schrems 2.0 og forelægger sine spørgsmål for EU-Domstolen, efter at en appel fra Facebook er blevet afvist. Schrems kommenterer:

“The question in this case does not seem to be if Facebook can win it, but to what extent the Court of Justice will prohibit Facebook’s EU-US data transfers.”

He added that, in the long-term, “the only reasonable solution is to cut back on mass surveillance laws”. If such a solution isn’t available between the EU and US, he said,

“Facebook would have to split global and US services in two systems and keep European data outside of reach for US authorities, or face billions in penalties under the upcoming EU data protection regulation”18.

2018-03-23 CLOUD Act vedtages som lov. Loven foretager blandt andet et tillæg til den amerikanske “Stored Communications Act”, som gør det muligt for amerikanske virksomheder at udlevere information, uanset hvor den er lagret, uden hensyn til det eventuelle andet lands lovgivning.

Loven åbner også for, at præsidenten kan indgå bilaterale aftaler med andre lande om mulighed for, at de kan anmode om udlevering af information fra USA – anmodninger, som dog skal prøves, før de kan effektueres.

2018-04-17 US vs. Microsoft-anke til den amerikanske Supreme Court opgives, fordi CLOUD Act har gjort sagen overflødig. USA fornyede sin anmodning om udlevering af information i henhold til den nye lovgivning, og der foreligger ikke længere nogen tvist mellem Microsoft og USA.


    Läs white paper

Kilder

  1. Europa-Parlamentets og Rådets direktiv 95/46/EF af 24. oktober 1995 ↩︎

  2. Personuppgiftslagen (1998:204) ↩︎

  3. Databeskyttelsesdirektivet ↩︎

  4. Afgørelse om Safe Harbor-procedurens tilstrækkelighed ↩︎

  5. Europa-Kommissionen vedr. Safe Harbor ↩︎

  6. The USA Patriot Act ↩︎

  7. Galexia, 2008 ↩︎

  8. Afgørelse om standardkontraktbestemmelser ↩︎

  9. ZDNet, 2011 ↩︎

  10. Oprindelige klager fra Max Schrems ↩︎

  11. Tidslinje over Edward Snowdens afsløringer, Al Jazeera ↩︎

  12. CDT, 2014 ↩︎

  13. C‐362/14, EU:C:2015:650 ↩︎

  14. Europa-Parlamentet – Fra Safe Harbour til Privacy Shield ↩︎

  15. Udtalelse fra Artikel 29-arbejdsgruppen ↩︎

  16. Max Schrems opdaterede klage vedr. Facebook og PRISM ↩︎

  17. Europa-Kommissionens afgørelse om EU-US Privacy Shield ↩︎

  18. Rebecca Hill, The Register ↩︎

Safespring er en hurtig og fleksibel sky- og IT-infrastrukturtjeneste.

Som en nordisk løsning gjør Safespring det enklere for deg å oppfylle lover og regler, som GDPR.

Utforska

Se demo

Låt en af våre Cloud Architects vise dig vår plattform.

Se demo
×
Safespring Linkedin Safespring X Safespring GitHub Safespring YouTube Safespring Facebook

Vælg sprog

Dansk flag English flag Svenska flag Norsk (Bokmål) flag

© Safespring AB (559075-0245) 2017-2026