Den 12. juli 2016 blev EU-U.S. Privacy Shield-aftalen formelt vedtaget, men hvad er egentlig de praktiske konsekvenser af aftalen? I denne artikel kan du læse om de praktiske konsekvenser af vedtagelsen af Privacy Shield-aftalen i forbindelse med overførsel af persondata mellem virksomheder i Europa og USA.
Baggrund
EU-U.S. Privacy Shield-aftalen har til formål at sikre den nødvendige og tilstrækkelige beskyttelse af personoplysninger, der overføres mellem EU og USA, når disse oplysningerne indsamles, behandles eller opbevares i USA, eksempelvis ved anvendelse af amerikanske databehandlere, herunder Cloud-løsninger. Aftalen stiller især krav til amerikanske myndigheders adgang til personoplysninger om EU borgere og til hvordan amerikanske virksomheder tilslutter sig aftalen. Nedenfor gennemgås de praktiske ændringer, som virksomheder i Danmark og EU bør være opmærksomme på, hvis de overfører personoplysninger til USA.
EU-U.S. Privacy Shield certificering for amerikanske virksomheder
Privacy Shield er en aftale om selvcertificeringsordning, som amerikanske virksomheder kan tilslutte sig, hvis de behandler personoplysninger fra borgere eller virksomheder i EU/EØS. Således kræver certificeringen, at de amerikanske virksomheder overholder en række grundlæggende persondataregler, som sikrer den nødvendige beskyttelse af personoplysninger.
Privacy Shield-aftalen gælder for såvel den dataansvarlige (den, der bestemmer formålet med behandlingen) og for databehandleren (den, der behandler personoplysninger på den dataansvarliges vegne).
Amerikanske virksomheder, der behandler personoplysninger hidrørende fra Europa kan tilslutte sig Privacy Shield aftalen via en hjemmeside, som administreres af det amerikanske handelsministerium. I forbindelse med udfyldelse af EU-U.S. Privacy Shield-aftalen, skal den pågældende virksomhed blandt andet redegøre for hvilke typer af persondata, den behandler og til hvilket formål. Desuden skal virksomheden forpligte sig til at overholde de Privacy Shield-principper, som aftalen foreskriver - så som oplysningspligt overfor den registrerede, samtykke til videregivelse af personoplysninger, aktindsigt m.v. Disse principper svarer grundlæggende til de, der følger af den gældende persondatalov og den kommende persondataforordning.
Det er frivilligt for amerikanske virksomheder at registrere sig, men registrerer de sig under Privacy Shield-aftalen, forpligter de sig samtidig til at overholde principperne i Privacy Shield-aftalen. Virksomhedens overholdelse af disse principper håndhæves efter amerikansk lov af den relevante håndhævningsmyndighed, dvs. enten det amerikanske handelsministerium eller den amerikanske handelskommission. Desuden pålægges de virksomheder, som certificerer sig under ordningen, en pligt til at foretage regelmæssige ajourføringer af, ligesom virksomhederne bliver underlagt kontrol fra det amerikanske handelsministerium.
Det skal EU virksomheder være opmærksomme på
De europæiske virksomheder, der ønsker at overføre personoplysninger til USA, kan tjekke om den amerikanske virksomhed har certificeret sig under EU-U.S. Privacy Shield-aftalen ved tjekke den såkaldte ”Privacy Shield List” (
https://www.privacyshield.gov/list), som er en liste over certificerede amerikanske virksomheder.
Fremgår den amerikanske virksomhed af listen, kan en europæisk virksomhed indgå en databehandleraftale med denne virksomhed uden krav om særskilt hjemmel. Fordelen ved at indgå en databehandleraftale med en certificeret virksomhed er, at aftalen ikke behøver forhåndsgodkendelse af Datatilsynet og behøver heller ikke at blive indgået på baggrund af Europa Kommissionens standardkontrakt, som ellers er påkrævet for ikke-certificerede virksomheder. Dog skal overførsel af følsomme og semi-følsomme oplysninger forsat anmeldes til Datatilsynet frem til at persondataforordningen træder i kraft 25. maj 2018.
Desuden skal det nævnes, at virksomheder i EU fortsat kan overføre personoplysninger til USA ved eksempelvis at anvende Kommissionens standardkontrakter, og anvendelse af disse kræver desuden heller ikke Datatilsynets godkendelse, dog gælder der et krav om, at den anvendte kontrakt skal være i fuld overensstemmelse med bestemmelserne i Kommissionens standardkontrakt. Er der foretaget ændringer i kontrakten i forhold til Kommissionens standardkontrakter, er der ikke længere tale om en standardkontrakt, og der skal derfor fortsat indhentes tilladelse til overførslen persondata fra Datatilsynet.
Koncernforbudne selskaber kan ligeledes forsat anvende såkaldte Binding Corporate Rules (BCR) for overførsel af personoplysninger internt i virksomheden, disse skal dog være godkendt af Datatilsynet forinden overførsel kan ske til en koncern-virksomhed i eksempelvis USA.
Fordelen ved at anvende Privacy Shield-aftalen er således, at det forud for aftalen om overførelse af persondata, kun er nødvendigt at indgå en almindelig databehandleraftale med databehandleren. En sådan aftale skal bl.a. indeholde bestemmelser om, at databehandleren alene handler efter instruks fra den dataansvarlige, og at databehandleren skal foretage forskellige tekniske og organisatoriske sikkerhedsforanstaltninger for at sikre oplysningerne, og den kræver desuden ikke en forhåndsgodkendelse fra Datatilsynet.
Bøder, årlig kontrol og ombudsmandsinstitution
Efterlever de amerikanske virksomheder ikke forpligtelserne som foreskrevet i Privacy Shield-aftalen, kan de pålægges sanktioner og fjernes fra listen over virksomheder certificeret i henhold til Privacy Shield-aftalen.
Er der mistanke om, at en myndighed tilknyttet den amerikanske stat (det vil nok især være amerikanske efterretningstjenester) i strid med Privacy Shield-aftalen har tilegnet sig personoplysninger fra EU-borgere uden at, der har været stærke nationale sikkerhedsmæssige årsager hertil, kan berørte EU-borgere klage over dette til en uafhængig amerikansk ombudsmand.
EU-Kommissionen og det amerikanske handelsministerium vil herudover årligt evaluere aftalen for at sikre, at den fungerer efter hensigten, og samtidig kontrollere at de registrerede EU-borgeres personoplysninger nyder tilstrækkelig databeskyttelse.
Kontakt DELACOUR
Hvis du har spørgsmål i forbindelse med det praktiske indhold i EU-U.S. Privacy Shield-aftalen, kan du rette henvendelse til DELACOUR og få en snak med vores specialister i persondataret Rasmus Lund og Reza Ahmadian.
Det omtalte EU-U.S. Privacy Shield kan læses her:
http://ec.europa.eu/justice/data-protection/files/privacy-shield-adequacy-decision_en.pdf
-medium.jpg)
-medium.jpg)
