EU-Kommissionen lægger skinnerne til sikker transatlantisk udveksling af personoplysninger

Den 13. december 2022 offentliggjorde EU-Kommissionen et udkast til en ny tilstrækkelighedsafgørelse for overførsler af personoplysninger fra EU til USA på baggrund af databeskyttelsesforordningens artikel 45, stk. 3.

Tilstrækkelighedsafgørelsen om det såkaldte ’EU-U.S. Data Privacy Framework’ (DPF) har til formål at skabe et nyt grundlag for overførsel af personoplysninger fra EU til USA samt at imødegå de mangler, som EU-Domstolen konstaterede ved de to tidligere (nu underkendte) tilstrækkelighedsafgørelser om overførsler af personoplysninger mellem EU og USA; Safe Harbor og Privacy Shield.

Vedtages DPF vil den således fremadrettet kunne udgøre grundlaget for overførsel af personoplysninger fra EU til certificerede virksomheder i USA, idet certificerede virksomheder i USA efter godkendelse af afgørelsen anses for at yde et beskyttelsesniveau for personoplysninger på lige fod med det niveau, som sikres i EU-medlemsstater. Sådanne overførsler vil fremover kunne foretages frit uden specifik godkendelse eller yderligere foranstaltninger, jf. databeskyttelsesforordningens artikel 45(1).

Opløbet til det nye udkast: Safe Harbor og Privacy Shield

Det er ikke første gang, EU-Kommissionen står over for at skulle vurdere beskyttelsesniveauet for behandling af personoplysninger i USA. EU-Kommissionen har både i 2000 og 2016 vedtaget tilstrækkelighedsafgørelser angående USA, som begge blev erklæret ugyldige af EU-Domstolen.

Safe Harbor-aftalen og Schrems I

På baggrund af artikel 25, stk. 6, i det tidligere databeskyttelsesdirektiv (95/46/EF) vedtog EU-Kommissionen for første gang den 26. juli 2000 en tilstrækkelighedsafgørelse for overførsler fra EU til certificerede virksomheder i USA (2000/520/EF), den såkaldte Safe Harbor-aftale. I Schrems I-dommen af 6. oktober 2015 (C-362/14) erklærede EU-Domstolen tilstrækkelighedsafgørelsen for ugyldig, idet EU-borgeres personoplysninger ikke i tilstrækkelig grad var beskyttet ved overførsel til USA.

Privacy Shield-afgørelsen og Schrems II

EU-Kommissionen vedtog den 12. juli 2016 en ny tilstrækkelighedsafgørelse, der skulle sikre overførselsgrundlaget til certificerede virksomheder i USA (2016/1250/EU). Afgørelsen om Privacy Shield-aftalen blev underkendt af EU-Domstolen i Schrems II-dommen af 16. juli 2020 (C-311/18), idet EU-Domstolen fandt, at de amerikanske myndigheders adgang til masseovervågning efter amerikansk lovgivning begrænsede beskyttelsen af personoplysninger i en sådan grad, at det ikke var foreneligt med databeskyttelsesreglerne i EU. Endvidere fandt EU-Domstolen, at de registrerede ikke havde en reel og tilstrækkelig mulighed for at kunne udøve deres rettigheder, idet klageadgangen ikke var tilstrækkeligt uafhængig og ikke kunne foretage beslutninger, som var tilstrækkeligt bindende for de amerikanske myndigheder.

Kommissionens udkast til en ny EU-USA tilstrækkelighedsafgørelse

EU-Kommissionens forslag til tilstrækkelighedsafgørelse om DPF skal bl.a. imødegå de mangler ved Privacy Shield, som EU-Domstolen påpegede i Schrems II-dommen og dermed skabe nye retlige rammer for overførsler af personoplysninger mellem EU og USA.

Manglerne imødegås ved implementering af et certificeringsprogram og fastsættelse af krav, som i det væsentligste sikrer et beskyttelsesniveau, som svarer til dét, der findes i EU/EØS. I det følgende gennemgår vi de forskellige elementer i DPF, som er med til at sikre et tilsvarende beskyttelsesniveau.

Anvendelsesområde og certificering

DPF er – ligesom Privacy Shield og Safe Harbor – baseret på et certificeringssystem, hvorefter amerikanske organisationer forpligter sig til et sæt databeskyttelsesprincipper, som udstedes af the U.S. Department of Commerce (DoC). Principperne vedrører eksempelvis formålsbegrænsning, dataminimering, gennemsigtighed og rettigheder for registrerede, som i vidt omfang allerede kendes i databeskyttelsesforordningen.

DPF finder således anvendelse på amerikanske organisationer, som har opnået den ovenfor beskrevne certificering. Dette gælder, uanset om den pågældende virksomhed i forbindelse med den konkrete overførsel af personoplysninger kvalificeres som dataansvarlig eller databehandler.

For at være kvalificeret til certificering skal organisationerne være underlagt tilsyn af the Federal Trade Commission (FTC) eller the U.S. Department of Transportation (DoT), som er bemyndiget med undersøgelses- og håndhævelseskompetencer.

Personoplysninger og behandling heraf fastlægges i overensstemmelse med databeskyttelsesforordningens definitioner. Alle personoplysninger, som overføres fra EU til certificerede organisationer i USA, og som ikke er indsamlet med henblik på offentliggørelse i journalistisk øjemed mv. (se hertil DPF Bilag 1, afsnit III.2), anses for beskyttet under DPF.

Principper for behandling af personoplysninger

DPF opererer med et sæt principper for behandling af personoplysninger, der i det væsentligste svarer til databeskyttelsesforordningens generelle principper for behandling af personoplysninger efter dennes artikel 5.

Således stiller DPF krav til, at personoplysninger behandles efter følgende principper:

• Lovlighed, rimelighed og formålsbegrænsning, jf. DPF betragtning 13-19, som eksempelvis betyder, at personoplysninger alene må indsamles til et specifikt formål og må kun anvendes til anden behandling, såfremt den anden behandling ikke er i uoverensstemmelse med formålet, som oplysningerne oprindeligt blev indsamlet til.
• Rigtighed, dataminimering og opbevaringsbegrænsning, jf. DPF betragtning 20-22, som bl.a. indebærer, at personoplysninger skal være korrekte og ajourførte. Personoplysninger skal endvidere være tilstrækkelige, relevante og ikke gå ud over, hvad der er nødvendigt i forhold til formålet med behandlingen, herunder opbevaring i længere tid end nødvendigt.
• Integritet og fortrolighed, jf. DPF betragtning 23-24, som betyder, at personoplysninger skal behandles på en måde, som sikrer oplysningernes sikkerhed, herunder beskyttelse mod uautoriseret eller ulovlig behandling og imod tab, tilintetgørelse eller skade. Databehandlere og -ansvarlige skal sikre, at tilstrækkelige tekniske og organisatoriske foranstaltninger er foretaget for at beskytte oplysningerne fra mulige trusler.
• Gennemsigtighed, jf. DPF betragtning 25-28, hvorefter en række krav skal opfyldes ved oplysning af registrerede om behandlinger, herunder angående den behandlende organisations deltagelse i DPF, omfanget af behandlingen, mv.
• Ansvarlighed, jf. DPF betragtning 44-46, som bl.a. indebærer, at det ved databehandling skal sikres, at der er iværksat passende tekniske og organisatoriske foranstaltninger, som opfylder de databeskyttelsesretlige forpligtelser, og som kan dokumenteres, særligt over for kompetente tilsynsmyndigheder.

Derudover er følsomme personoplysninger underlagt særlig beskyttelse i DPF, jf. betragtning 16-19.

De registreredes rettigheder

De registrerede tillægges en række rettigheder i DPF, herunder retten til indsigt, adgang til indsigelse over for behandling samt retten til at få oplysninger berigtiget eller slettet. Dette sikres bl.a. igennem det såkaldte ”Access Principle”, eller adgangsprincippet, hvorefter registrerede har ret til, uden begrundelse, at modtage bekræftelse fra en organisation på, hvorvidt organisationen behandler personoplysninger om den registrerede, at få oplysningerne oplyst, modtage information om behandlingsformål, behandling af følsomme oplysninger samt information om modtagere af oplysningerne.

Adgangsretten begrænses alene under exceptionelle forhold og i overensstemmelse med undtagelserne i databeskyttelsesretlige regler i EU, herunder hvor andres legitime rettigheder vil blive krænket, hvor tildeling af adgang er disproportionalt byrdefuld eller udgiftstung, mv.

Derudover gælder der over for registrerede en oplysningspligt, herunder hvis formålet med behandlingen ændres, så den registrerede har mulighed for at protestere imod behandlingen.

Begrænsninger af deling af personoplysninger med andre organisationer i USA eller tredjelande

DPF fastlægger en række begrænsninger for såkaldte ”onward transfers”, dvs. videreoverførsel af personoplysninger til en dataansvarlig eller databehandler. Konkret må organisationer, der er omfattet af DPF, således alene videregive oplysninger til behandling, såfremt behandlingen er til begrænsede og specifikke formål på baggrund af en kontrakt mellem organisationen og tredjeparten, og kontrakten forpligter tredjeparten til at sikre samme beskyttelsesniveau som fastsat ved DPF’s grundlæggende principper.

Hvor deling af oplysninger sker til en ”tredjepartaktør”, f.eks. en databehandler, skal organisationen endvidere sikre, at modtageren alene handler efter instruks og tager rimelige og passende skridt for at sikre, at denne effektivt behandler personoplysningerne på en måde, som er i overensstemmelse med organisationens forpligtelser under DPF’s grundlæggende principper, samt - ved kendskab hertil - at stoppe og afhjælpe uautoriseret behandling. Ligesom efter databeskyttelsesforordningen vil den dataansvarlige principielt stå til ansvar, hvis der opstår udfordringer i en kæde af (under)databehandling, medmindre den dataansvarlige kan bevise ikke at være ansvarlig for den handling, der har forårsaget skaden.

Adgang til effektiv administrativ og retslig prøvelse

DoC administrerer og fører tilsyn med DPF. Rammesættet fastsætter således tilsyns- og håndhævelsesmekanismer for at verificere og sikre, at certificerede organisationer overholder DPF’s grundlæggende principper, og at enhver afvigelse herfra adresseres.

Derudover sikrer DPF den registreredes ret til administrativ og retslig prøvelse igennem en række muligheder for at håndhæve rettigheder, indgive klager om organisationers manglende regeloverholdelse, mv.

Individer kan indgive klager direkte til en organisation, til en uafhængig udenretslig mægler udpeget af organisationen, til nationale ”DPA’er”, til DoC eller til FTC. Endelig har den registrerede mulighed for at anlægge en voldgiftssag mod organisationen.

Særlig regulering af amerikanske offentlige myndigheders adgang til EU-borgeres personoplysninger

I Schrems II-dommen lagde EU-domstolen særlig vægt på, at de amerikanske efterretningstjenesters indsamling og behandling af personoplysninger om EU-borgere var i strid med artikel 7 og 8 i den Europæiske Unions charter om grundlæggende rettigheder (EU-Chartret).

I DPF lægges der derfor særlig vægt på at afklare offentlige myndigheders adgang til EU-borgeres personoplysninger.

Behandling af personoplysninger til brug for strafferetlige sager

Det fremgår af DPF, at amerikanske retshåndhævelsesmyndigheder har adgang til at indsamle og behandle personoplysninger under visse afgrænsede betingelser. Det fremhæves, at der skal foreligge et hjemmelskrav til at behandle personoplysninger og derudover ofte et krav om forudgående tilladelse af en domstol. Herudover er myndighederne underlagt tilsyn, og de registrerede har mulighed for domstolsprøvelse af myndighedernes behandling.

Behandling af personoplysninger til nationale sikkerhedsformål

Amerikanske efterretningstjenester har vidtgående beføjelser til at indsamle personoplysninger, herunder personoplysninger, der overføres fra EU til USA. EU-Domstolen fandt, at denne vide adgang ikke var i overensstemmelse med databeskyttelsesforordningen i lyset af EU-Chartret. Forhandlingerne med USA forud for udkastet til den nye tilstrækkelighedsafgørelse medførte, at Præsident Biden den 7. oktober 2022 underskrev en ny Executive Order (EO 14086). Formålet med dekretet var at indføre nye databeskyttelsesgarantier og klagemuligheder, der gælder for amerikanske efterretningstjenester.

Et af de emner, som behandles særskilt i EO 14086, er masseindsamling af personoplysninger, såkaldt ”bulk collection”. Den nye Executive Order indfører således seks udtømmende formål for en sådan indsamling. Derudover må masseindsamling kun anvendes, hvis målrettet indsamling af personoplysninger ikke kan opfylde formålet. Derudover kræves også en proportionalitetsafvejning ved masseindsamling.

Etablering af en Data Protection Review Court

Den nye Executive Order skaber en Data Protection Review Court. EU-borgere kan klage til denne instans vedrørende amerikanske efterretningstjenesters indsamling og behandling af deres personoplysninger. Klagen kan indbringes igennem europæiske tilsynsmyndigheder. Denne nye instans har til formål at lette klageadgangen og sikre EU-borgeres rettigheder. Etableringen af en uafhængig klageinstans vil endvidere imødegå mangler identificeret af EU-domstolen ved tidligere aftaler for transatlantiske overførsler, jf. Schrems II-afgørelsen.

EU-Kommissionens konklusion

EU-Kommissionen finder sammenfattende, at den nye Executive Order opstiller tilstrækkelige garantier og klagemuligheder til at sikre, at de amerikanske efterretningstjenesters adgang til EU-borgeres personoplysninger kun sker i det omfang, det er nødvendigt og proportionalt.

Under forudsætning af, at den nye Executive Order implementeres i amerikansk ret, finder EU-Kommissionen, at amerikansk lovgivning giver tilstrækkelig beskyttelse af EU-borgeres personoplysninger.

Næste skridt

Udkastet til tilstrækkelighedsafgørelsen for DPF er fremsendt til Det Europæiske Databeskyttelsesråd. Udkastet skal præsenteres for databeskyttelsesrådets medlemmer på møde den 17. januar 2023. Databeskyttelsesrådet vil herefter fremkomme med en officiel udtalelse til udkastet.

Den efterfølgende proces består i, at EU-Kommissionen skal indhente godkendelse fra medlemslandene og give Europa-Parlamentet mulighed for indsigt i tilstrækkelighedsafgørelsen. Herefter vil tilstrækkelighedsafgørelsen kunne træde i kraft og udgøre overførselsgrundlag for overførsler fra EU til USA.

Mens vi venter…

Det er vigtigt at være opmærksom på, at man som virksomhed eller offentlig myndighed fortsat skal sørge for at etablere et grundlag for overførsler af personoplysninger til USA i overensstemmelse med databeskyttelsesforordningens artikel 46-49. Det vil være tilfældet, indtil Kommissionens udkast til tilstrækkelighedsafgørelse er endelig godkendt. Man kan f.eks. bruge EU-Kommissionens standardkontraktbestemmelser m.v. Derudover skal man som dataeksportør i EU være opmærksom på at følge Det Europæiske Databeskyttelsesråds anbefalinger og foretage en vurdering af, om der skal fastsættes supplerende tekniske foranstaltninger for at opnå den fornødne beskyttelse af personoplysningerne. Dette skal normalt dokumenteres i en skriftlig Transfer Impact Assessment.

Det er også vigtigt at huske på, at det nye rammeværk under alle omstændigheder alene gælder for overførsler af personoplysninger fra EU til de amerikanske virksomheder i USA, der har tilsluttet sig og er certificeret under DPF. Man skal derfor fortsat være opmærksom på, om dataimportøren i USA – f.eks. en databehandler – videreoverfører personoplysningerne til øvrige usikre tredjelande. F.eks. anvender flere cloudleverandører en række usikre tredjelande i forbindelse med levering af cloudydelser. Da rammeværket ikke gælder for overførsler til sådanne underleverandører i øvrige usikre tredjelande, skal dataeksportører i EU sørge for at foretage en vurdering af, om der kan ske overførsel til disse og etablere et selvstændigt overførselsgrundlag herfor samt vurdere behovet for supplerende tekniske foranstaltninger.

Vi følger processen for vedtagelse af tilstrækkelighedsafgørelsen nøje og vil løbende publicere nyheder herom. Du er altid velkommen til at kontakte os, hvis du ønsker sparring om, hvordan du kan håndtere overførsler til USA eller øvrige usikre tredjelande.