Microsoft svarer på bombebeslutningen EU-US Privacy Shield med melding til europeiske brukere

EU-domstolen har nettopp opphevet EU-US Privacy Sheild-avtalen, som har tillatt amerikanske selskaper å overføre EU-brukerdata til USA, på betingelse av at dataene vil bli behandlet i henhold til samme standard som kreves av GDPR i Europa.

"Domstolen ugyldiggjør avgjørelse 2016/1250 om tilstrekkeligheten av beskyttelsen gitt av EU-US Data Protection Shield," skrev domstolen i en uttalelse, og sa at "kravene til USAs nasjonale sikkerhet, allmenne interesser og rettshåndhevelse har forrang, og dermed tolererer inngrep i de grunnleggende rettighetene til personer hvis data overføres til det tredjelandet", og at metodene som ble satt på plass for å beskytte EU-borgeres data i USA, for eksempel rollen som ombudsmann til å håndtere EU-borgeres klager ikke oppfylte den påkrevde juridiske standarden "essensiell ekvivalens" med EU-lovgivningen.

Microsoft har svart med en egen uttalelse, som forsikrer europeiske sluttbrukere om at virksomheten stort sett vil fortsette som vanlig, i det minste på kort sikt, og sier:

I dag har EU-domstolen avsagt en dom knyttet til en sak som undersøker dataoverføringer fra EU.

Vi ønsker å klargjøre virkningen av denne beslutningen for våre kunder.

Vi bekrefter at alle våre kunder kan fortsette å bruke Microsoft-tjenester, i full overensstemmelse med europeisk lov. Rettskjennelsen endrer ikke muligheten til å overføre data mellom EU og USA ved hjelp av Microsoft-skyen.

I årevis har Microsoft gitt kunder høye nivåer av beskyttelse for både Standard Contractual Clauses (SCC) og Privacy Shield for all dataoverføring. Selv om dagens kjennelse ugyldiggjorde bruken av Privacy Shield, forblir SCC-ene gyldige. Kundene våre er allerede beskyttet av SCC-er for bruk av Microsoft-skyen og relaterte dataoverføringer.

Videre endrer ikke dagens kjennelse dataflytene til våre tjenester til Forbrukere. Vi overfører data mellom brukere, for eksempel når en person sender e-post eller annet nettinnhold til en annen person. Vi vil fortsette å gjøre det i samsvar med dagens vedtak og med fremtidige og videre retningslinjer fra EUs databeskyttelsesmyndigheter og European Data Protection Board.

I tillegg til å støtte kunder som overfører data mellom EU og USA, vil vi fortsette å jobbe proaktivt med EU-kommisjonen og USAs regjering for å løse problemene som kjennelsen reiser. Domstolen reiste noen viktige argumenter som regjeringer må vurdere når de etablerer en dataoverføringspolitikk mellom land. Vi vil fortsette å gjøre vår del ved å forplikte oss til å samarbeide med europeiske og amerikanske myndigheter og regulatorer for å løse disse problemene. Vi er sikre på at EU-kommisjonen og USAs regjering også vil jobbe for å løse disse problemene, og vi er takknemlige for at de er aktivt involvert i å finne løsninger.

Vi har alltid jobbet for å forbedre beskyttelsesnivået for våre kunder. Vi var den  første skyselskap  å samarbeide med europeiske databeskyttelsesmyndigheter for godkjenning av modellklausuler i Europa og  første selskap  å ta i bruk nye tekniske standarder for personvernet til skytjenester. Vi har akseptert  Privacy Shield som en etterfølger til Safe Harbor etter kanselleringen av denne modellen, og vi har utvidet GDPR-nøkkelrettighetene til våre kunder over hele verden.

Til slutt vil vi fortsette å iverksette tiltak for å forsvare rettighetene til kundene våre. Vi anla søksmål for å utfordre bestillinger som krevde tilgang til folks data eller for å beskytte vår evne til å informere brukere om ventende forespørsler, og bringe  sak til USAs høyesterett . Takket være våre handlinger har vi garantert større åpenhet for våre kunder, gjennom en  avtale  som har tillatt oss å avsløre rapporter om antall bestillinger som kreves av USAs nasjonale sikkerhet. I tillegg til å etablere  nye retningslinjer  innen USAs regjering som begrenser bruken av hemmelighetsbefalinger.

Personvern er en kontinuerlig reise, og dagens setning er ikke siste ord. Kundene våre kan være trygge på at vi vil strebe etter å sikre at deres data kan fortsette å bevege seg gjennom tjenestene våre. De kan også stole på det faktum at vi vil fortsette arbeidet vårt for å gi dem større beskyttelse basert på problemene som er tatt opp i dagens kjennelse, og at vi vil samarbeide med myndigheter og de som er ansvarlige for personvernpolitikk, etter utviklingen av fremtidige beslutninger.

Microsoft har jobbet hardere enn de fleste med å prøve å oppfylle GDPR-kravene i EU, inkludert å sette opp lokale datasentre, og vi vil sannsynligvis klare endringene som vil følge av den nye kjennelsen.

av WBI