Nye retlige rammer for overførsel af persondata mellem EU og USA

08 februar 2016

I oktober 2015 blev Safe Harbor-ordningen kendt ugyldig af EU-Domstolen. Dette har efterladt et tomrum i forhold til, hvordan overførsel af persondata til tredjelande, herunder især USA, fremadrettet skal håndteres.

EU Kommission og USA har siden da arbejdet intenst på at skabe nye retlige rammer, hvorved transatlantiske overførsler skal kunne lade sig gøre inden for et tilstrækkeligt sikkerhedsniveau. Dette har medført en ny Safe Harbor aftale, som man har valgt at omdøbe til "EU-U.S. Privacy Shield". Det er dog vigtigt at pointere, at der stadig kun er tale om et aftaleudkast, som endnu ikke er endeligt.

Større krav til amerikanske virksomheder

Den nye aftale skal sikre, at der stilles større krav til og forpligtelser overfor virksomheder etableret i USA i forhold til, hvordan persondata behandles og individuelle rettigheder garanteres, når persondata overføres til USA Dertil hører, at virksomheder, som modtager human ressources data, skal efterleve og overholde beslutninger truffet af europæiske databeskyttelsesmyndigheder.

Vicepræsident Ansip fra EU-Kommissionen har udtalt om den nye ordning, at "vores virksomheder, specielt små virksomheder, har den juridiske sikkerhed, de behøver, når de udvikler deres aktiviteter på tværs af Atlanten".

Tilsynskontrol med amerikanske myndigheder

Aftalen medfører en skærpet overvågning og håndhævelse fra det amerikanske handelsministerium, da disse i særlig grad vil påse, at amerikanske virksomheder offentliggør og meddeler deres forpligtelser således, at de bliver juridisk bindende under amerikansk lovgivning.

En væsentlig nyskabelse i EU-U.S. Privacy Shield er, at kravene til samarbejdet mellem de amerikanske og europæiske myndigheder forøges, idet USA har givet en skriftlig garanti om, at amerikanske myndigheders adgang til persondata skal underlægges klare begrænsninger i form af sikkerheds- og beskyttelsesforanstaltninger samt tilsynskontrol. I den forbindelse har EU kommissionær Jourová udtalt, at "USA har garanteret, at der ikke vil foretages vilkårlig overvågning eller masseovervågning af europæere".

Årligt vil der blive afholdt en fælles gennemgang og evaluering af aftalen mellem Kommissionen og det amerikanske handelsministerium, hvor nationale eksperter fra amerikanske og europæiske databeskyttelsesmyndigheder inviteres. Allerede næste år vil første gennemgang afholdes.

Klageadgang til ombudsmand

Den effektive beskyttelse af europæiske statsborgere kommer især til udtryk ved, at aftalen medgiver enhver statsborger, som mener, at deres data er blevet misbrugt, flere klagemuligheder. Virksomhederne i USA forpligtes nu til at svare på klager fra borgere, der føler, deres rettigheder er krænket.

En ny institution i form af en ombudsmand, som er underlagt de amerikanske myndigheder, vil skulle følge op på klager henvist fra europæiske databeskyttelsesmyndigheder angående nationale efterretningstjenesters adgang til europæiske statsborgeres persondata.

 Artikel 29-gruppens vurdering af aftalen

Den såkaldte Artikel 29-gruppe ("WP29") har i deres pressemeddelelse udtalt, at det er nødvendigt, at den nye aftale indeholder fire meget væsentlige garantier, når det handler om efterretningsaktiviteter:

  • Behandling af persondata skal baseres på klare, præcise og tilgængelige regler
  • Der skal være balance mellem den data, som indsamles og vurderes i forhold til individets rettigheder
  • Der bør være en uafhængig kontrolmyndighed
  • Effektive retsmidler skal være tilgængelige

WP29 udtrykker bekymring om, hvorvidt disse garantier kan imødegås af de nuværende retlige rammer i USA.

Næste skridt

Som nævnt er EU-U.S. Privacy Shield stadig på tegnebrættet, og den endelige tekst er endnu ikke offentliggjort. Næste skridt vil være, at EU-Kommissionen vil lave et udkast til en såkaldt "adeqaucy decision", dvs. en afgørelse om, at EU-U.S. Privacy Shield-aftalen anses for at yde et tilstrækkeligt beskyttelsesniveau for data, der overføres fra EU til USA. Derudover skal USA tage de endelige skridt i retning af at implementere denne afgørelse. EU-Kommissionen har udtalt, at afgørelsen vil blive udarbejdet over de kommende uger. Herefter vil den blive overleveret til WP29 og repræsentanter fra EU medlemslandene, som vil gennemgå afgørelsen og komme med deres kommentarer. Først herefter vil den blive fremlagt for EU-Kommissionen som på baggrund af disse kommentarer skal beslutte, om EU-U.S. Privacy Shield kan endeligt vedtages.

SCC's og BCR's

Baseret på den fremlagte tidsplan er det vigtigt at slå koldt vand i blodet. Der er stadig temmelig lange udsigter til, at der foreligger en endelig og gyldig aftale. Indtil da har WP29 tydeligt udtalt, at virksomheder, der overfører data til tredjelandene baseret på enten SCC's (standard contractual clauses) eller BCR's (binding corporate rules), lovligt kan blive ved med det. Hvorvidt overførsler på baggrund af BCR's eller SCC's kan foretages efter den endelige vedtagelse af EU-U.S. Privacy Shield, afventer stadig afklaring.

 For at se pressenyheden fra EU-Kommissionen: http://bit.ly/20mOhx4

 For at se pressenyheden fra Artikel 29-gruppen: http://bit.ly/1o69Wsi