Irlands högsta domstol beslutade i dag att be EU-domstolen om ett förhandsavgörande för att reda ut om Facebook får lov att fortsätta skicka europeiska medborgares persondata till USA. Ett avgörande som kan få enorma konsekvenser för europeiska företag.
– Risken är att man hamnar tillbaka på huvudregeln som är att man inte får föra personuppgifter från EU till ett annat land. Det skulle inte bara göra det svårt att använda molntjänster utan påverka väldigt många företag och organisationers verksamhet, säger Daniel Westman som är forskare i it-rätt vid Stockholms universitet.
Tvisten står mellan Facebook och den österrikiske aktivisten Max Schrems. Låter det bekant? Det är nämligen precis samma rättsfall som för två år sedan fällde Safe Harbor-avtalet, en överenskommelse mellan EU och USA som skulle intyga att européisk persondata var precis lika väl skyddad oavsett vilken sida om Atlanten servrarna befanns sig på.
Men Edward Snowdens avslöjanden om USA:s massövervakning visade på det motsatta. All data som flyttades till USA utsattes för en genomlysning av NSA, vilket gjorde att EU-domstolen till sist ogiltigförklarade Safe Harbor.
Fast Facebook har inte slutat flytta data fram och tillbaka över EU:s gränser efter att Safe Harbor föll. Istället har företaget valt att använda något som kallas standardavtalsklausuler som juridisk grund.
Grundregeln i EU är att data om en europeisk medborgare inte får lämna unionens gränser. Det får bara göras ifall det finns ett godkänt undantag som garanterar att personuppgifterna skyddas på samma sätt som inom EU när de flyttas till ett land utanför unionen, som exempelvis USA. Det vanligaste undantaget är de här standardklausulerna.
Ärendet Max Schrems driver är att standardklausulerna har precis samma problem som Safe Harbor. De garanterar inte att NSA håller fingrarna borta från hans personliga Facebook-konto om företaget lagrar hans data i amerikanska servrar.
Läs också: Beslut i EU-domstolen slår mot tusentals företag - dataavtalet mellan USA och EU ogiltigt
– I ljuset av Safe Harbor-beslutet är det ganska naturligt att se att standardavtalsklausulerna har samma svaghet, om inte en ännu större svaghet, säger Daniel Westman.
Skulle EU-domstolen fälla standardklausulerna skulle det inte bara sätta käppar i hjulet för Facebooks dataöverföring. Det skulle kunna skapa enorma problem för många företag.
Det finns visserligen ett nytt avtal på plats för dataöverföring mellan EU och USA som kallas Privacy Shield. Men skulle standardklausulerna ogiltigförklaras blir effekten oerhört mycket större. De ligger till grund för överföringar från EU till alla tänkbara länder, inte bara USA.
– Om de försvinner återstår bara Privacy Shield, och det gäller inte för överföring till verksamhet som har datacenter i andra regioner, så det löser inte problemet, säger Daniel Westman.
Men många frågetecken återstår.
Den irländska domstolen har inte formulerat sina frågor till EU-domstolen ännu, det ska göras under nästa vecka. Där får vi reda på om domstolen vill ha reda på om standardavtalen som helhet ska prövas – eller om det bara gäller överföringar till och från USA. Det återstår också att se hur långt EU-domstolen kommer att gå i sitt förhandsavgörande.
Dessutom ska den irländska domstolen skicka en andra förfrågan till EU, som också skulle kunna få stor effekt.
Läs också: Han tog fajten med Facebook – och vann. Men ännu är Max Schrems inte nöjd.
De vill veta om nationella myndigheter ska få rätt att stoppa dataöverföring i väntan på dom. Som det är nu får Facebook och andra multinationella företag fortsätta flytta data fram och tillbaka till USA så länge det inte kommit ett slutgiltigt avgörande.
Men skulle EU-domstolen delegera makt och ge nationella myndigheter, som Datainspektionen i Sverige, möjlighet att stoppa verksamheten skulle situationen bli helt annorlunda.
– Det kan ju ta ett par år innan EU-domstolen fattar sådana här beslut, och under tiden förs det över en massa data hela tiden, säger Daniel Westman.
