EU-US Privacy Shield vedtaget

15 juli 2016

Pernille Østergaard

Privacy Shield-ordningen, der følger i kølvandet på, at den tidligere Safe Harbor-ordning blev kendt ugyldig af EU-domstolen, er den 12. juli 2016 blevet godkendt af EU-kommissionen. Ordningen er en aftale mellem myndighederne i EU og USA, der har til formål at beskytte EU-borgeres grundlæggende rettigheder ved transatlantiske dataoverførsler.

Godkendt

Aftalen, der blev lavet mellem EU-Kommissionen og USA's regering allerede den 2. februar 2016, er nu godkendt. Efter databeskyttelsesmyndighedernes (Artikel 29-gruppen) og Europa-Parlamentets gennemgang anses ordningen for at afspejle de krav, som fremgår af Safe Harbour-dommen (EU-Domstolens dom af 6. oktober 2015).

Artikel 29-gruppen havde oprindeligt en række bekymringer i forhold til Privacy Shield-ordningen.

Artikel-29-gruppen fandt blandt andet, at ordningen generelt var uklart formuleret og svært gennemskuelig, ligesom grundlæggende databeskyttelsesprincipper i EU-lovgivningen ikke var (tilstrækkeligt) gengivet i Privacy Shield.

Derudover fandt Artikel 29-gruppen det nødvendigt, at der i forbindelse med videregivelse af personoplysninger fra en virksomhed under Privacy Shield til en tredjepart blev stillet de samme krav som under Privacy Shield for at sikre imod omgåelse af databeskyttelsesprincipperne.

Artikel 29-gruppen understregede desuden nødvendigheden af at få afklaret klagemulighederne for EU-borgere, da de oprindeligt angivne klagemuligheder var komplekse og besværlige, ligesom problematikken omkring masseovervågning af EU-borgere også blev adresseret.

Bird & Bird har tidligere skrevet om ovennævnte problematik her og her.  

Hvad er Privacy Shield?

Privacy Shield-ordningen er, ligesom det var tilfældet med Safe Harbor-ordningen, en selvcertificeringsordning, som amerikanske virksomheder kan tilslutte sig. Certificeringen kræver, at de tilsluttende virksomheder skal overholde regler, som sikrer beskyttelsen af personoplysninger fra EU/EØS. Har en amerikansk virksomhed opnået Privacy Shield-certificeringen, vil dette udgøre hjemmel til overførsel af personoplysning fra EU/EØS og til den amerikanske virksomhed. 

For at blive certificeret skal den amerikanske virksomhed overholde en række principper, herunder orienteringspligt; gennemsigtighed ved videreoverførsler, sikkerhed; formålsbegrænsning og krav om samtykke ved udvidelse af behandlingsformål eller overførsel til tredjeparter; indsigt, berigtigelse, sletning og indsigelsesret samt en række supplerende principper om f.eks. behandling af følsomme data.

Med Privacy Shield bliver det indført, at de amerikanske myndigheder laver kontrol af overholdelsen af ordningen og kan pålægge virksomhederne sanktioner og eventuelt fratage dem certificeringen, hvis virksomhederne ikke lever op til kravene i Privacy Shield-ordningen.

Reglerne om videreoverførsel af personoplysninger, altså det at en amerikansk virksomhed modtager personoplysninger fra EU og derefter overfører dem til et andet tredjeland – og som ofte blev misbrugt under Safe Harbor – er blevet skærpet, således at der ved videreoverførsler skal overholdes samme regelsæt som ved overførslen til den amerikanske virksomhed.

Borgere, hvis personoplysninger er blevet overført under Privacy Shield, vil kunne klage over eventuelle krænkelser til den certificerede virksomhed, som skal stille en gratis tvistløsningsmulighed til rådighed, hvis klagen ikke imødekommes. Borgere vil også kunne klage til den nationale datatilsynsmyndighed eller ultimativt anlægge en voldgiftssag mod den amerikanske virksomhed.

Der er fra amerikansk side endvidere stillet garantier for, at EU-borgere kan klage over tilsluttede amerikanske virksomheders adfærd i forhold til databehandling til en ny ombudsmand. USA har ligeledes lovet ikke at foretage masseovervågning af persondata, som overføres fra EU til USA under Privacy Shield-ordningen – uden dog at garantere dette for persondata overført under andre ordninger.

Hvad sker der nu?

Privacy Shield-ordningen træder i kraft med det samme. Certificering af virksomheder, der ønsker at behandle persondata under Privacy Shield-ordningen, vil kunne anmeldes til USA's handelsministerium fra den 1. august. Virksomheder, der ønsker at deltage i Privacy Shield-ordningen har indtil da tid til at gennemgå rammerne for ordningen og opfylde kriterierne herfor.

Privacy Shield-ordningen har dog både frem til vedtagelsen og efterfølgende mødt omfattede modstand og kritik, og det blev allerede samme dag som vedtagelsen varslet fra forskellige sider, at Privacy Shield vil blive forsøgt prøvet ved EU-domstolen.

Overføres følsomme personoplysninger eller semi-følsomme under Privacy Shield-ordningen, vil Datatilsynets tilladelse fortsat skulle indhentes, så længe Persondataloven er gældende. Tilladelse til overførsel af følsomme personoplysninger forventes ikke at skulle indhentes, når Persondataforordningen træder endeligt i kraft den 25. maj 2018.

Den endelige udformning af Privacy Shield-ordningen kan findes her og bilagene her.

Authors

image of Pernille Kirk Østergaard

Pernille Østergaard

Associate
Danmark

Ring til mig på: +45 30 93 91 21