DAEN

MENU

Ny transatlantisk aftale om overførsel af personoplysninger til USA tættere på

Joe Biden har for nylig udstedt et præsidentielt dekret om udveksling af personoplysninger mellem EU og USA. Selvom dekretet ikke i sig selv kan danne grundlag for transatlantiske overførsler, tegner det lyst for en løsning vedrørende overførsel af personoplysninger mellem EU og USA.

Joe Biden har for nylig udstedt et præsidentielt dekret om udveksling af personoplysninger mellem EU og USA. Selvom dekretet ikke i sig selv kan danne grundlag for transatlantiske overførsler, tegner det lyst for en løsning vedrørende overførsel af personoplysninger mellem EU og USA.

USA’s præsident Joe Biden har den 7. oktober 2022 udstedt et præsidentielt dekret, som har til formål at gennemføre den amerikanske del af principaftalen ”Trans-Atlantic Data Privacy Framework”, som EU-Kommissionen og USA indgik tilbage i marts 2022. Den transatlantiske ramme for databeskyttelse skal igen gøre det muligt for offentlige myndigheder og private virksomheder at overføre personoplysninger mellem EU og virksomheder i USA. Det sker, efter at EU-Domstolen med Schrems II-dommen erklærede den tidligere Privacy Shield-ordning for transatlantiske overførsler ugyldig.

DET AMERIKANSKE SVAR PÅ SCHREMS II-UDFORDRINGEN

Formålet med principaftalen er at imødegå de reservationer, som EU-Domstolen rejste i Schrems II-dommen, og at skabe et holdbart og pålideligt retsgrundlag for transatlantiske datastrømme. 

Formålet med dekretet og den tilhørende amerikanske lovgivning er at gennemføre de amerikanske forpligtelser i henhold til principaftalen om den transatlantiske ramme for databeskyttelse mellem EU og USA.   

For europæiske borgere, der får overført deres personoplysninger til USA, vil dekretet bl.a. indebære følgende:

  • Bindende foranstaltninger, som begrænser amerikanske efterretningstjenesters adgang til personoplysninger til, hvad der er nødvendigt og proportionalt for at beskytte national sikkerhed.
  • Etablering af et uafhængigt og upartisk to-trins klagesystem og tilsyn (”redress mechanism”), som inkluderer en ny domstol benævnt ”Data Protection Review Court”, som skal undersøge og behandle klager vedrørende amerikanske efterretningstjenesters adgang til personoplysninger.

Europa-Kommissionen har offentliggjort en Q&A i kølvandet på udstedelsen af det præsidentielle dekret. Det fremgår heraf, at dekretet indeholder væsentlige forbedringer sammenlignet med Privacy Shield, samt at dekretets sikkerhedsforanstaltninger imødegår de bekymringer, som EU-Domstolen rejste i Schrems II-dommen. Det er derfor EU-Kommissionens forventning, at EU-Domstolen ikke vil erklære det nye rammeværk for ugyldigt.

ET GODT SKRIDT PÅ VEJEN, MEN IKKE I MÅL ENDNU

Det er vigtigt at være opmærksom på, at dekretet ikke i sig selv betyder, at private virksomheder og myndigheder i EU allerede nu kan overføre personoplysninger til amerikanske virksomheder i USA uden etablering af et gyldigt overførselsgrundlag samt opfyldelse af kravene efter Schrems II-dommen.

Næste skridt er, at EU-Kommissionen nu påbegynder en særlig vedtagelsesprocedure, der skal afgøre, om der kan vedtages en tilstrækkelighedsafgørelse i overensstemmelse med databeskyttelsesforordningens artikel 45. Denne procedure omfatter bl.a. en høring af Det Europæiske Databeskyttelsesråd (EDPB), som vil foretage en vurdering af, om rammeværket opfylder de betingelser, som EU-Domstolen opstillede i Schrems II-dommen. Derudover skal Europa-Parlamentet og en komité bestående af repræsentanter fra medlemsstaterne inddrages.

Når EU-Kommissionen har truffet en endelig tilstrækkelighedsafgørelse vedrørende rammeværket, vil personoplysninger kunne flyde frit mellem EU og de amerikanske virksomheder i USA, som har tilsluttet sig rammeværket og er certificeret af det amerikanske Handelsministerium.

Der er af gode grunde ikke fastsat en endelig frist for, hvornår der kan ske en endelig tilstrækkelighedsafgørelse vedrørende rammeværket. Forventningen er, at overførselsgrundlaget tid-ligst vil kunne anvendes fra marts 2023.

GODE RÅD OM, HVAD MAN KAN GØRE, MENS VI VENTER

Som sagt kan det nye rammeværk for transatlantiske overførsler ikke bruges endnu som overførselsgrundlag for overførsler af personoplysninger til amerikanske virksomheder – men vi er kommet et vigtigt skridt tættere på.

I mellemtiden skal man som virksomhed eller offentlig myndighed i EU sørge for at have et andet overførselsgrundlag for overførsler af personoplysninger til USA i overensstemmelse med databeskyttelsesforordningens artikel 46-49. Man kan f.eks. bruge EU-Kommissionens standardkontraktbestemmelser eller Binding Corporate Rules m.v. Derudover skal man som dataeksportør i EU være opmærksom på at følge EDPB’s anbefalinger og foretage en vurdering af, om der skal fastsættes supplerende tekniske foranstaltninger for at opnå den fornødne beskyttelse af personoplysningerne. Dette skal normalt dokumenteres i en skriftlig Transfer Impact Assessment.

Det er også vigtigt at huske på, at det nye rammeværk under alle omstændigheder alene gælder for overførsler af personoplysninger fra EU til de amerikanske virksomheder i USA, der har tilsluttet sig og er certificeret under rammeværket. Man skal derfor fortsat være opmærksom på, om dataimportøren i USA – f.eks. en databehandler – videreoverfører personoplysningerne til øvrige usikre tredjelande. F.eks. anvender flere cloudleverandører en række usikre tredjelande i forbindelse med levering af cloudydelser. Da rammeværket ikke gælder for overførsler til sådanne underleverandører i øvrige usikre tredjelande, skal dataeksportører i EU sørge for at foretage en vurdering af, om der kan ske overførsel til disse og etablere et selvstændigt overførselsgrundlag herfor samt vurdere behovet for supplerende tekniske foranstaltninger.

Vi følger nøje udviklingen af det nye rammeværk og EU-Kommissionens proces med at vedtage en tilstrækkelighedsafgørelse for overførsler til USA i medfør af rammeværket. Du er altid velkommen til at kontakte os, hvis du ønsker sparring om, hvordan du kan håndtere overførsler til USA eller øvrige usikre tredjelande.

TILMELD DIG VORES NYHEDSBREVE

Mere end 20.000 personer abonnerer på vores nyhedsbreve og modtager løbende vores juridiske nyheder og publikationer. Nyhedsbrevene giver også et overblik over vores kurser, webinarer og netværksmøder, og fra tid til anden indeholder de information om særlige arrangementer inden for de områder, du interesserer dig for. Vi ser frem til at dele vores viden om juridiske emner med dig.