Persondataekspertgruppen Artikel 29-Gruppen satte i går spørgsmålstegn ved flere dele af erstatningen for Safe Harbour, det såkaldte EU-U.S. Privacy Shield, der af EU-Kommissionen er foreslået som den fremtidige hjemmel til lovlig udveksling af persondata mellem EU og USA.
Udmeldingen fra Artikel 29-Gruppen sker i en pressemeddelelse, der udtrykker ekspertgruppens konklusioner efter længere tids undersøgelse af EU-U.S. Privacy Shield. Konklusionen i pressemeddelelsen lyder, bl.a. at ”the Working Party has strong concerns on both the commercial aspects and the access by public authorities to data transferred under the Privacy Shield”. Bekymringerne skal ses i lyset af, at ekspertgruppen dog byder de forbedringer, som EU-U.S. Privacy Shield indeholder set i forhold til dens forgænger, Safe Harbour, velkomne.
Artikel 29-Gruppens undersøgelse
Artikel 29-Gruppens fokus har været at undersøge, om EU-U.S. Privacy Shield i tilstrækkelig grad afspejler kravene i persondatadirektivet og EU-Domstolens dom af 6. oktober 2015, hvorefter Safe Harbour-ordningen blev erklæret ugyldig, og om det dermed er sikret, at de beskyttelsesforanstaltninger, der træffes i forbindelse med videregivelse af personoplysninger inden for rammer af EU-U.S. Privacy Shield, svarer til EU's databeskyttelsesstandarder. Og det har ekspertgruppen altså samlet set vurderet ikke er tilfældet.
Først og fremmest kritiserer Artikel 29-Gruppen, at de af EU-Kommissionen offentliggjorte dokumenter, der beskriver EU-U.S. Privacy Shield, overordnet set er uklare og svære at navigere i og forstå bl.a. på grund af uoverensstemmelser med anvendelsesområdet for og definitionerne i den nugældende persondatalovgivning.
Herudover er det Artikel 29-Gruppens vurdering, at flere af de grundlæggende beskyttelses- og sikkerhedsprincipper i lovgivningen ikke afspejles i EU-U.S. Privacy Shield, herunder bl.a. reglerne for opbevaring af personoplysninger. Ydermere beskriver EU-U.S. Privacy Shield ikke de sikkerhedsmæssige krav, der skal stilles til overførsler af europæiske borgeres personoplysninger fra amerikanske virksomheder til tredjeparter udenfor USA, og ekspertgruppen kræver i den forbindelse, at der stilles de samme krav til disse tredjeparter som til amerikanske virksomheder under EU-U.S. Privacy Shield. I modsat fald er det ekspertgruppens opfattelse, at EU-U.S. Privacy Shield kan omgås og at beskyttelsen af EU-borgeres personoplysninger derved er illusorisk.
Artikel 29-Gruppen stiller også spørgsmålstegn ved den i EU-U.S. Privacy Shield beskrevne mulighed for EU-borgere til at klage over amerikanske virksomheders behandling af deres personoplysninger. Ekspertgruppen er bekymret for, om klageadgangen vil fungere i praksis, fordi der er risiko for, at EU-borgere vil finde klageadgangen for besværlig og ineffektiv at benytte. I den forbindelse anmoder Artikel 29-Gruppen om, at klageadgangsprocedurerne tydeliggøres. I forlængelse heraf bemærker ekspertgruppen, at det foreslåede ombudsmandsinstitut ikke synes at være tilstrækkeligt uafhængigt og effektivt.
Endeligt kritiserer ekspertgruppen EU-U.S. Privacy Shield for ikke at udelukke, at de amerikanske myndigheder fortsat kan foretage masseovervågning af EU-borgeres personoplysninger, der overføres til amerikanske virksomheder.
Afslutningsvist og på baggrund af ovenstående opfordrer Artikel 29-Gruppen EU-Kommissionen til at fremkomme med løsninger på de udtrykte bekymringer samt tydeliggøre de uklare forhold.
EU-U.S. Privacy Shield
I kølvandet på EU-Domstolens dom af 6. oktober 2015 påbegyndte EU-Kommissionen sammen med USA arbejdet om en ny ordning for transatlantisk udveksling af personoplysninger. Dette arbejde mundede d. 2. februar 2016 ud i, at EU-Kommissionen og USA politisk blev enige om en ny ordning til udveksling af personoplysninger mellem EU og USA, der benævntes EU-U.S. Privacy Shield. D. 29. februar 2016 offentliggjorte EU-Kommissionen lovgivningspakken om oprettelsen af EU-U.S. Privacy Shield. Det er denne lovgivningspakke, som netop har været genstand for Artikel 29-Gruppens undersøgelse og som ekspertgruppen har sammenholdt med de nugældende persondataregler og EU-Domstolens dom af 6. oktober 2015.
EU-U.S Privacy Shield indeholder i hovedtræk:
• En bindende forsikring fra USA til EU om, at den amerikanske stats adgang til persondata vil være begrænset og desuden indeholde væsentlige forbedrede sikkerhedsforanstaltninger, således at det bl.a. er slut med masseovervågning af europæiske borgeres personoplysninger;
•Øget sikring af, at amerikanske virksomheder overholder reglerne for persondatabeskyttelse, og at virksomhederne sanktioneres, hvis ikke reglerne overholdes;
•Europæiske borgere, hvis personoplysninger behandles i USA, sikres en individuel klageadgang ved forskellige muligheder, herunder en ombudsmandsinsitution; og
•Årlig fælles evalueringsmekanisme, hvorunder det løbende vurderes, hvorledes EU-U.S. Privacy Shield fungerer.
Fremtiden for EU-U.S. Privacy Shield
EU-U.S. Privacy Shield’s fremtid ser i sin nuværende form mindre lys ud efter gårsdagens udmelding fra Artikel 29-Gruppen. Selvom ekspertgruppens udtalelse ikke er bindende for EU-Kommissionen og den videre implementering af EU-U.S. Privacy Shield, er der risiko for, at Artikel 29-Gruppens udmelding kan danne grundlag for anlæggelse af sager mod EU-U.S Privacy Shield, hvis ikke ekspertgruppens udtalelse tages alvorligt af EU-Kommissionen.
Inden EU-Kommissionen beslutter, om den vil gå videre med EU-U.S. Privacy Shield i sin nuværende form, afventer EU-Kommissionen udtalelse fra den såkaldte Artikel 31-Gruppe, der forventes at blive offentliggjort i maj 2016.
DELACOURs team af persondataspecialister følger aftalen om EU-U.S. Privacy Shield tæt, og hvis du gerne vil vide yderligere om de mulige konsekvenser af den seneste udvikling, er du velkommen til at kontakte os.
Artikel 29-Gruppens pressemeddelelse kan læses
her
-medium.jpg)
-medium.jpg)
-(2)-(1)-medium.jpg)
-medium.jpg)
