Indsigt

EU-Kommissionen: Arbejder mod en Safe Harbor 2.0-aftale

Siden den Europæiske Unions Domstol (EU-Domstolen) erklærede Safe Harbor-rammen mellem EU og USA ugyldig den 6. oktober 2015, har virksomheder, tilsynsmyndigheder og europæiske lovgivere arbejdet hårdt på at komme med passende tilbagemelding.

Retningslinjer for dataoverførsel til EU efter underkendelse af Safe Harbor-ordningen
EU-Kommissionen udsendte den 6. november retningslinjer for dataoverførsel til EU efter underkendelse af Safe Harbor-ordningen, hvori EU-Kommissionen igen bekræfter, at de alternative dataoverførselsmekanismer fortsat er gyldige muligheder. Vejledningen understreger dog også, at dataeksportører, der anvender bindende virksomhedsregler eller kontraktlige løsninger, er ansvarlige for at sikre, at overførsel af data foregår under tilstrækkelige sikkerhedsforanstaltninger. Dette kan indebære, at der tages tekniske, organisatoriske, forretningsmæssige eller juridiske forholdsregler, eller at overførslen indstilles fuldstændig. Uafhængigt og sag for sag skal databeskyttelsesmyndighederne i sidste ende vurdere, om tilstrækkelige forholdsregler er taget for at kunne tillade en overførsel på baggrund af alternative overførselsmekanismer. EU-Kommissionen vil dog samarbejde med databeskyttelsesmyndighederne for at sikre en ensartet brug af databeskyttelseslovgivningen overalt i EU.


Forhandlinger med USA vedrørende en ny ramme
EU-Kommissionen har derudover udtalt, at dens målsætning er at afslutte forhandlingerne med USA vedrørende en ny ramme til erstatning for Safe Harbor-ordningen inden for 3 måneder. I en meddelelse til Europa-Parlamentet den 26. oktober 2015 afslørede kommissær Jourová allerede, at EU og USA i princippet var nået til enighed om hovedpunkterne i den nye Safe Harbor-ramme, men indrømmede, at bestemmelserne vedrørende offentlige myndigheders mulige adgang til data i forbindelse med retshåndhævelse og national sikkerhed fortsat er den største udfordring i forhandlingerne.


Tilsynsmyndigheder angiver januar 2016 som deadline for forhandlinger; accepterer alternative overførselsmuligheder på nuværende tidspunkt
Ifølge databeskyttelsesmyndighederne i EU er amerikanske efterretningstjenesters adgang til europæiske persondata, som kommissær Jourová hentydede til, væsentlig i forståelsen af EU-Domstolens afgørelse. I en erklæring den 16. oktober opfordrede databeskyttelsesmyndighederne medlemsstaterne og EU-Kommissionen til at finde ”politiske, tekniske og juridiske løsninger”, der muliggør dataoverførsel til USA, så længe at de grundlæggende rettigheder respekteres. Databeskyttelsesmyndighederne anerkender, at en ny Safe Harbor-ramme kunne være en del af en løsning, men stiller strenge krav til dennes godkendelse samt en præcis deadline for forhandlingerne. Hvis der ikke er fundet en løsning den 31. januar 2016, vil tilsynsmyndighederne tage ”alle nødvendige og hensigtsmæssige forholdsregler, der kan omfatte koordinerede indgreb”.
Databeskyttelsesmyndighederne sætter også spørgsmålstegn ved, om alternative overførselsmekanismer stadig vil være gyldige i fremtiden, da bindende virksomhedsregler eller EU-Kommissionens standardkontrakter heller ikke beskytter europæisk registrerede personer mod ”omfattende og tilfældig overvågning”. I deres erklæring forpligtede databeskyttelsesmyndighederne sig til at tillade disse alternativer i det mindste indtil slutningen af januar 2016. De tyske databeskyttelsesmyndigheder har imidlertid ensidigt fraveget fra dette standpunkt og meddelt, at de ikke længere vil udstede nye tilladelser for dataoverførsel til USA, som er baseret på bindende virksomhedsregler eller ad hoc dataoverførselskontrakter.


Et overblik over mulighederne
I et forsøg på at skabe klarhed giver nedenstående liste et generelt overblik over mulige måder, hvorpå persondata kan overføres fra EU til USA, med tilhørende fordele og ulemper.
Nedenstående liste giver et overblik over, hvordan tingene ser ud den 11. november 2015. Som følge af det usikre retslige klima kan denne vurdering hurtigt ændre sig efter f.eks. EU-Kommissionens udsendte retningslinjer, udviklingen i forhandlingerne om en ny Safe Harbor-ramme eller databeskyttelsesmyndighedernes revurdering af de bindende virksomhedsregler og standardkontrakter. Safe Harbor-afgørelsen vil være hovedemnet på et møde, som kommissær Jourová har med sin amerikanske kollega i Washington DC den 17. november 2015. Derudover vil Artikel 29-Gruppen, der sammenkalder databeskyttelsesmyndighederne i alle medlemsstater, drøfte følgevirkningerne af Safe Harbor igen i slutningen af november.


Safe Harbor-ordningen

Fordele

  • Minimale certificeringsomkostninger
  • Overholdelse medfører integrering af Safe Harbor-principperne om beskyttelse af persondata i virksomhedens politikker og forretningsgange

Ulemper

  • Underkendt af EU-Domstolen
  • Dækker kun dataoverførsel fra EU/Schweiz til amerikanske virksomheder med Safe Harbor-certificering 
  • Giver den amerikanske Federal Trade Commission håndhævelsesbeføjelser

Godkendt af databeskyttelsesmyndighederne?
Nej. Underkendt af EU-Domstolen i sagen Schrems mod Data Protection Commissioner (C-362/14).

Bindende virksomhedsregler

Fordele

  • Overholdelse medfører integrering af EU’s krav til personlig databeskyttelse i koncernens centrale politikker og forretningsgange
  • En løsning, der er anvendelig for al dataoverførsel uden for EU (ikke kun i USA)

Ulemper

  • Lang godkendelsesproces, kræver omfattende dokumentation og ressourcer
  • Kræver en stærk forvaltning af persondata (ansvar)
  • Hovedkontoret i EU kan blive draget til ansvar for manglende overholdelse af bindende virksomhedsregler af koncernselskaber uden for EU, som modtager data fra EU

Godkendt af databeskyttelsesmyndighederne?
Ja. Godkendt af alle databeskyttelsesmyndigheder undtagen den tyske i det mindste indtil 31. januar 2016.


Standardkontraktbestemmelser (EU-Kommissionens standardkontrakter)

Fordele

  • Kræver ingen udarbejdelse af kontraktbestemmelser – lovpligtige kontraktbestemmelser kan findes på internettet
  • Forhåndsgodkendt af databeskyttelsesmyndighederne, er indtil videre aldrig blevet anfægtet

Ulemper

  • Kun anvendelig for velafgrænsede overførsler
  • Kontraktmæssig administration er en udfordring på underskriftstidspunktet og i tilfælde, hvor en opdatering kræves
  • Risiko for at skabe en papirtiger: tydelige kontraktmæssige garantier, uden overholdelse i praksis

Godkendt af databeskyttelsesmyndighederne?
Ja. Godkendt af alle databeskyttelsesmyndigheder i det mindste indtil 31. januar 2016.


Ad hoc dataoverførselskontrakter

Fordele

  • Større fleksibilitet end EU-Kommissionens standardkontrakter i forbindelse med udarbejdelse 
  • Lettere at tilpasse til skiftende overførsler

Ulemper

  • Større tidsforbrug og flere ressourcer i forbindelse med udarbejdelse
  • Kræver databeskyttelsesmyndighedernes tilladelse, ikke en garanti

Godkendt af databeskyttelsesmyndighederne?
Ja. Godkendt af alle databeskyttelsesmyndigheder undtagen den tyske i det mindste indtil 31. januar 2016.


Undtagelsesbestemmelser i loven (f.eks. samtykke)
Fordele

  • Præcise undtagelser gives i Databeskyttelsesdirektivet (EC/95/46)

Ulemper

  • Undtagelsesbestemmelserne fortolkes restriktivt, ikke en holdbar løsning
  • Tillades sandsynligvis kun, hvis overførslen er hverken omfattende eller hyppig
  • Samtykke skal oplyses præcist og uhindret, hvilket i mange tilfælde er svært, hvis ikke umuligt at indhente

Godkendt af databeskyttelsesmyndighederne?
Kun hvis strenge betingelser (oplyst præcist og uhindret) overholdes, og ikke til gentagne, omfattende eller strukturelle overførsler.


Anbefalinger

For nærværende anbefaler vi kraftigt at kontrollere, hvorvidt der er nogen persondataoverførsler til USA i jeres virksomhed, som stadig er baseret på den underkendte Safe Harbor-ramme. Hvis det er tilfældet, bør I overveje at gennemgå jeres overordnede strategi for dataoverførsel og vurdere, om nogen af de øvrige muligheder for at overføre data til USA ville være realistiske i jeres specifikke situation.
Fremtiden er usikker, hvad angår den langsigtede gennemførlighed af alternative overførselsmekanismer efter januar 2016. Vi anbefaler derfor at fokusere på faktorer, der kan vise databeskyttelsesmyndighederne, at der er taget højde for EU-Domstolens udmelding i jeres virksomhed. Vurdér om I er i stand til at begrunde, hvorfor den grænseoverskridende overførsel er nødvendig, og om muligt sågar, hvorvidt overførslen gavner den registrerede person. Gennemsigtige privatlivspolitikker og forretningsgange, veldokumenterede strategier for minimering af data og datatilbageholdelsespolitikker samt it-sikkerhedsforanstaltninger såsom end-to-end kryptering burde hjælpe jer til at argumentere for fortsat transatlantisk dataoverførsel fremover.

Fandt du dette nyttigt?