Så er der nyt på Privacy Shield-fronten

17 marts 2016

Europakommissionen har den 29. februar offentliggjort teksten til det nye Privacy Shield. Kommissionen har desuden fremlagt deres udkast til en "adequacy decision" på baggrund af teksten. Som opfølgning på vores sidste nyhedsbrev om emnet, kommer her en gennemgang af, hvad vi kan forvente på baggrund af de nye tiltag på Privacy Shield-fronten.

Hvad indeholder ordningen?

Den nye ordning vil stille større krav til amerikanske virksomheder, som håndterer personlige data. Myndighederne påkræves at foretage et mere skærpet tilsyn med virksomhederne samtidig med, at borgerne medgives bedre klagemuligheder, såfremt en borger påstår sine personlige data misbrugt.

Alligevel vil den nye beskyttelsesordning Privacy Shield fremstå meget nær den gamle Safe Harbor-ordning, som i 2015 blev kendt ugyldig. Ligesom Safe Harbor vil Privacy Shield bygge på princippet om virksomhedernes selv-certificering og eget tilsyn i forbindelse med overholdelsen af databehandlingsprincipperne. Også ligesom ved Safe Harbor vil det amerikanske handelsministerium føre en liste over de i ordningen deltagende virksomheder.

Fortsat adgang for amerikanske myndigheder?

Et af de vigtigste områder det nye Privacy Shield skal regulere, er muligheden for at begrænse amerikanske myndigheders adgang til europæiske data. Manglende stillingtagen til dette var årsagen til, at Safe Harbor-ordningen blev kendt ugyldig i første omgang. Det amerikanske Office of the Director of National Intelligence har i den forbindelse garanteret, at den amerikanske stats adgang til de europæiske data vil blive underlagt klare begrænsninger, beskyttelsesforanstaltninger og tilsyn. Der vil også blive oprettet en uafhængig ombudsmandsinstitution, som får til formål at varetage klager eller henvendelser fra privatpersoner. I Privacy Shield forslaget er der dog stadig en henvisning til en såkaldt "bulk collection of signals data", som får nogen kritikere til at udtale, at Privacy Shield ikke vil kunne leve op til de krav, der efterspørges, når det kommer til de amerikanske myndigheders adgang til dataene.

Næste skridt

Privacy Shield opnår først endelig accept, når alle medlemsstater og Artikel 29-gruppen har godkendt den med eventuelle tilføjelser af kommentarer. Den vurdering, som medlemsstaterne og Artikel 29-gruppen skal foretage, tager udgangspunkt i det udkast til en 'adequacy decision', som Kommissionen også offentliggjorde den 29. februar 2016. En 'adequacy decision' er en vurdering af, hvorvidt den nye beskyttelsesordning anses for at yde et tilstrækkeligt beskyttelsesniveau for de data, som overføres fra EU til USA.

Artikel 29-gruppen har i en pressemeddelelse efter offentliggørelsen af Privacy Shield teksten forpligtet sig til, at de på deres plenarmøde den 12. og 13. april 2016 vil give deres endelige vurdering af det nye Privacy Shield.

Når medlemsstaterne og Artikel 29-gruppen har givet deres vurdering af Privacy Shield, kan Kommissionen endeligt vedtage ordningen.

Den kommende tid er derfor fyldt med spænding i forhold til, om tidsperspektivet overholdes, og hvordan vi i fremtiden skal forberede os på at overføre personlig data til USA.

For at se pressemeddelelsen fra Artikel 29-gruppen, klik her.