Indsigt

Aftale om EU-US Privacy Shield

EU og USA når til enighed om ny transatlantisk ordning for dataoverførsel

Den 2. februar 2016 meddelte Europa-Kommissionen, at en politisk aftale med det amerikanske handelsministerium om en ny transatlantisk ordning for dataoverførsel var indgået og erstatter den ugyldige Safe Harbor-ordning. Det nye ordning, kaldet "EU-US Privacy Shield", vil give EU-borgere flere muligheder for at udøve deres ret til godtgørelse i USA, herunder også i forbindelse med amerikanske efterretningstjenesters brug af deres data. USA har også efter sigende givet EU skriftlig tilsagn om, at offentlige myndigheders adgang i forbindelse med retshåndhævelse og national sikkerhed vil være underlagt "klare begrænsninger, garantier og tilsynsmekanismer". For at sikre, at denne ordning ikke forbliver en engangsforeteelse, vil der derudover også blive oprettet en årlig evalueringsproces.

Centrale punkter i aftalen

  • Stærke forpligtelser til virksomheders håndtering af EU-borgeres personoplysninger, og hård håndhævelse og overvågning foretaget af det amerikanske handelsministerium og den amerikanske føderale handelskommission. 
  • Klare sikkerhedsforanstaltninger og gennemsigtighedskrav til den amerikanske regerings adgang til personlige oplysninger, og forsikring om, at principperne om nødvendighed og proportionalitet overholdes. 
  • Effektiv beskyttelse af EU-borgeres rettigheder med flere klagemuligheder til det amerikanske handelsministerium, den amerikanske føderale handelskommission og en uafhængig ombudsmand, samt opsætning af en alternativ konfliktløsningsmekanisme, som er gratis. Endvidere vil virksomheder blive pålagt frister for at reagere på klager.

Myndighedernes håndhævelse
EU’s databeskyttelsesmyndigheder udsendte en erklæring den 3. februar 2016 for at understrege, at der er behov for yderligere analyser af den nye Privacy Shield-aftale for at vurdere, om aftalen i tilstrækkelig grad omhandler de spørgsmål, der blev rejst af EU-Domstolen i Schrems-sagen. Artikel 29-gruppen håber at modtage de officielle dokumenter i relation til Privacy Shield-aftalen ved udgangen af februar, og har planlagt at analysere aftalen i de første uger af marts 2016.

Mens alternative overførselsmekanismer, såsom Binding Cooporate Rules (BCR) og standardkontrakter forbliver lovlige muligheder for overførsel af personlig data til USA, meddeler de regulerende myndigheder, at de er i gang med at vurdere "robustheden" af disse mekanismer set i lyset af Schrems-afgørelsen. I april 2016 vil Artikel 29-gruppen skabe klarhed omkring gyldigheden af alle tre muligheder: BCRs, standardkontrakter og det nye EU-US Privacy Shield.

Indtil da understregede tilsynsmyndighederne, at det at bero på den ugyldige Safe Harbor-ordning under alle omstændigheder er ulovligt, og at tilsynsmyndighederne vil behandle sager og klager enkeltvis. Se nedenfor for CNIL’s foranstaltninger mod Facebook.

Næste skridt
Kollegiet som er det øverste beslutningstagende organ under Europa-Kommissionen, har allerede godkendt den politiske aftale og har krævet, at justitskommissær Vera Jourová udarbejder en ny "tilstrækkelig beslutning". Denne beslutning ville betyde, at baseret på Privacy Shield-aftalen, vil personlige data kunne overføres fra EU til USA uden yderligere retlige sikkerhedsforanstaltninger. Kommissæren vurderede, at aftalen vil kunne gennemføres og træde i kraft inden for tre måneder.

Dog, eftersom Schrems-afgørelsen præciserede, at det i sidste ende er op til de nationale databeskyttelsesmyndigheder at afgøre, om en overførsel af personlige data er i overensstemmelse med kravene i EU's databeskyttelsesdirektivet, afhænger successen af EU-US Privacy Shield-aftalen af databeskyttelsesmyndighederne i Artikel 29-gruppens opfattelse. Som forklaret ovenfor, forventes større klarhed i april 2016.

Fandt du dette nyttigt?