I USA lagrer, ifølge NRK, amerikanske teleselskaper trafikkdata i fem år. NSA må fra nå av få en rettslig kjennelse for å hente ut data. Et system ikke ulikt det som ble foreslått i datalagringsdirektivet, altså. EU-domstolen kom i fjor vår til at direktivet var i strid med EUs grunnleggende friheter, og det førte til at det aldri trådte i kraft her i Norge.

Patriot Act er et svært detaljert og komplisert lovverk, og det er ikke slik at det i sin helhet oppheves. Men gårsdagens vedtak i Kongressen er et viktig signal om at også vedtak om masseovervåking kan reverseres, og at personvern er høyt på den politiske agendaen også i USA. Det er også verdt å merke seg at en ankedomstol på Manhattan i forrige uke kom til at NSA ikke hadde tillatelse til å drive masseinnsamling av trafikkdata fra amerikanske borgere, slik Edward Snowden avslørte. Denne avgjørelsen antas å ha lagt et press på Kongressen til ikke å fornye Patriot Act.

Et annet interessant poeng er hvilken rolle domstolene spiller i kampen for å vinne tilbake tapt grunn for personvernet. Det er en helt sentral oppgave for domstolene å kontrollere av vedtak fra folkevalgte organer ikke bryter det enkelte lands grunnlov eller borgernes grunnleggende rettigheter. Både i EU-domstolens avgjørelse om datalagringsdirektivet og avgjørelsen fra Appeal Court på Manhattan har domstolene på forbilledlig vis utøvd slik kontroll. Jeg tror domstolenes rolle i slike spørsmål vil bli enda viktigere framover.

I går vedtok EU-parlamenter ganske overraskende et forslag som på flere områder er både fremoverlent og spenstig. Det er ingen hemmelighet at Edward Snowden og PRISM-avsløringene har vakt stor irritasjon og bekymring i mange europeiske land, og at dette har satt fart på arbeidet. Ikke minst først har det ført til at reglene på flere punkter har blitt skjerpet.

Vi har enda ikke hatt mulighet til å studere alle detaljer i teksten, men her er noen foreløpige høydepunkter:

Europeisk rett gjelder for alle – og det skal koste å bryte loven

All behandling av data som skjer i Europa skal følge europeiske regler. Som en representant i parlamentet sa: ” Driver du forretninger i Europa må våre regler følges”. Det betyr at ikke-europeiske selskaper som driver business i Europa ikke lenger kan skjule seg bak sitt eget lands regelverk og si at ”for oss gjelder amerikansk, ikke europeisk rett” ( PS: Eksemplet er ikke tilfeldig valgt). Alvorlig brudd på regelverket vil også kunne bøtelegges kraftig. Max-grensen er 100 000 000 Euro, eller 5% av selskapenes globale omsetning.

Rett til å bli glemt

Folk får en styrket rett til å bli glemt, det vil si en rett til å få sine data slettet. Det finnes tilsvarende regler i dag, men kommer nå klarere fram. Hensikten er ”å styrke  EU-borgerne, og særlig ungdom, sin makt og selvbestemmelse over sin egen identitet på nettet”. Retten gjelder også overfor tredjeparter dataene er delt med.

Innebygd personvern

Datatilsynet har i flere år vært opptatt av at personvern må bygges inn i de teknologiske løsningene så tidlig som overhode mulig etter prinsippene om innebygd personvern. Det blir nå lovbestemt at disse viktige prinsippene skal følges og at personvern skal bygges inn på et ”tidligst mulig tidspunkt”.  Personvern skal også være førstevalget. Her nevnes som eksempel når man er medlem i et sosialt nettsamfunn. Det betyr at brukerne i større grad enn i dag må si JA før det for eksempel innføres nye tjenester, og at tjenestene ikke i like stor grad kan tres nedover hode på folk.

Og hva nå?

EU-kverna er ikke ferdig med å male, og fortsatt gjenstår mye arbeid. Blant annet skal Rådet nå si sitt, og det vil sikkert bli endringer under marsjen. Det er også ting som ikke er bra med vedtaket, bl.a. er det lagt opp til en god del byråkratiske prosesser og det er usikkert hvor stor innflytelse Norge vil få i de nye EU-organene som foreslås. Det kommer jeg tilbake til i nye blogg-innlegg om ikke lenge. I mellomtiden kan hovedpunktene i forslaget leses her.