Ända sedan EU och USA tillkännagav ett nytt principavtal om dataöverföringar mellan EU och USA, som påstås ge ett definitivt svar på lagligheten av att använda USA-baserade molntjänster, har vi fått många frågor.
Vi pratade med vår CSO, Kinh Luan Nguyen, och vår DPO, Kim Hindart, om några av de vanligaste frågorna från våra kunder och partners.
F: Är det lagligt att använda amerikanska molntjänster igen?
Det har, i sak, aldrig varit olagligt att använda amerikanska molntjänster. Det har dock varit, och är fortfarande, förbjudet att överföra personuppgifter utan laglig grund och/eller mekanism och/eller samtycke, från EU till ett land som inte skyddar personlig information enligt de mänskliga rättigheterna. Som referens var Privacy Shield, som ogiltigförklarades 2020, en sådan mekanism som möjliggjorde dataöverföringar mellan EU och USA.
Anledningen är att de amerikanska massövervakningsprogrammen, som ger den amerikanska regeringen extraterritoriella rättigheter att extrahera data från amerikanska molntjänster, oavsett var uppgifterna finns, är ett intrång i EU-medborgarnas integritet.
Med tanke på hur detta ämne debatteras i media, är det korta svaret nej eftersom absolut ingenting har förändrats.
- GDPR gäller fortfarande.
- Privacy Shield (som tidigare möjliggjorde laglig dataöverföring mellan EU och USA) är fortfarande ogiltigt sedan den 16 juli 2020.
- Det finns inget nytt ramverk eller avtal för dataöverföring som tillåter laglig dataöverföring ännu.
F: Varför uppger vissa medier och artiklar att situationen har lösts?
Den omskrivna överenskommelsen mellan EU och USA är att initiera ett nytt förslag till “New Trans-Atlantic Data Privacy Framework” för att säkerställa att du lagligt kan överföra data mellan EU och USA [i framtiden].
Återigen är överenskommelsen att initiera ett nytt förslag. EU och USA har inte nått ett juridiskt avtal, och absolut ingenting har förändrats från en dag till en annan. Du behöver fortfarande:
- En rättslig grund för att överföra EU-medborgares data till USA.
- Samtycke att överföra EU-medborgares data till USA.
F: Kan jag fortsätta använda amerikanska molntjänster och bara vänta på det nya förslaget?
Ja, på bekostnad av dina registrerade vars integritet och mänskliga rättigheter du äventyrar och potentiellt kränker.
För det första har förhandlingarna mellan EU och USA inte gett något förslag om hur USA ska se till att inte kränka mänskliga rättigheter.
För det andra, om EU och USA lyckas utarbeta ett avtal i frågan måste det först ratificeras i alla EU:s medlemsländer. Processen att samla in godkännande från 27 olika parlament kommer att ta tid.
F: Men de skyndade sig igenom Privacy Shield-ramverket när Safe harbor ogiltigförklarades och gick till och med med på att inte utmana Privacy Shield på två år. Vad säger att det inte blir detsamma den här gången?
Trans-Atlantic Data Privacy Framework kommer att vara den tredje versionen av en mekanism som skulle kunna tillåta dataöverföringar mellan EU och USA. Europeiska dataskyddsnämnden (EDPB) och EU-domstolen (EUCJ) kommer sannolikt inte att godkänna en lösning som inte följer EU:s dataskyddslagstiftning.
Både EDPB och EUCJ är oberoende organisationer som inte behöver uppfylla några överenskommelser från kommissionen om de anser att ett sådant avtal strider mot mänskliga rättigheter.
F: Kan vi inte bara räkna med att det här löser sig?
Du kan, men du kommer att gå en otrygg digital framtid till mötes om du inte utvärderar dina alternativ.
Problemet är inte de briljanta amerikanska, kinesiska eller indiska företagen som tillhandahåller utmärkta molntjänster. Problemet är hur vårt digitala jag och data inte ses på samma sätt av länder utanför EU, vilket gör att vår personliga information blir föremål för rättssystem och massövervakningsprogram som inte respekterar våra mänskliga rättigheter.