Jurainfo logo
LUK
Juridiske nyheder Kurser Find juridisk specialist Jobbørs Domme
Om Jurainfo Podcasts Juridiske links Privatlivspolitik Kontakt
Ansøg om en profil Bliv kursusudbyder Bliv jobannoncør
Artikel

Et skridt tættere på aftale om overførsler af personoplysninger til USA

Kromann Reumert
12/10/2022
Et skridt tættere på aftale om overførsler af personoplysninger til USA
Kromann Reumert logo
Fredag den 7. oktober 2022 udstedte USA's præsident Joe Biden et dekret (Executive Order) og tilhørende lovgivning, som skal gennemføre den amerikanske del af den principaftale om overførsel af personoplysninger mellem EU og USA, som blev annonceret i foråret af EU-Kommissionens præsident Ursula von der Leyen og Joe Biden selv. Dermed er vi nu kommet et skridt tættere på en aftale med USA om transatlantiske overførsler af personoplysninger.

Formålet med Joe Bidens dekret og den tilhørende lovgivning er at implementere USA's forpligtelser, der følger af ovennævnte principaftale, og ikke mindst at imødekomme de reservationer i forhold til amerikansk ret, som blev rejst af EU-Domstolen i den meget omtalte Schrems II-dom.


Helt konkret følger det af det nye dekret, at de amerikanske efterretningstjenester fremadrettet vil være underlagt krav om nødvendighed og proportionalitet i forbindelse med indsamling af data, og at der vil blive etableret et nyt to-trins klagesystem, herunder en ny domstol til håndtering af databeskyttelsesklager (Data Protection Review Court). Den nye lovgivning forpligter tillige de amerikanske efterretningstjenester til at gennemgå deres politikker og procedurer med henblik på at implementere disse nye sikkerhedsforanstaltninger.


Amerikanske efterretningstjenester skal efterleve principper om nødvendighed og proportionalitet

Den nye lovgivning forpligter de amerikanske efterretningstjenester til at begrænse deres aktiviteter i forbindelse med indsamling af data til, hvad der er nødvendigt og proportionalt, herunder til at opnå definerede oplistede legitime formål. Principperne om nødvendighed og proportionalitet er skrevet direkte ind i lovgivningen, hvoraf det også følger, at efterretningstjenesterne skal være underlagt et strengt tilsyn for at sikre, at de agerer i overensstemmelse med principperne.


Dekretet oplister i alt tolv legitime formål, som kan danne grundlag for efterretningstjenesternes indsamlingsaktiviteter. Et af de legitime formål er fx beskyttelse mod terrorisme og i gidseltagningssituationer. I tillæg til de legitime formål defineres fire forbudte formål, hvortil der ikke må ske indsamling af data, herunder fx uretfærdig behandling af personer på grund af deres etnicitet, race, køn, kønsidentitet, seksuelle orientering eller religion.


Lovgivningens tilsynsmekanisme indebærer, at den nuværende "Civil Liberties Protection Officer (CLPO)" fra det agentur, der i forvejen fører tilsyn med efterretningsfællesskabet (det såkaldte "Office of the Director of National Intelligence (ODNI)"), regelmæssigt skal vurdere, om de grænser, der er fastsat i dekretet, overholdes. Herudover skal de enkelte dele af efterretningstjenesterne, der indsamler data, udpege en række embedsmænd, som skal være uafhængige, føre tilsyn og sikre overholdelse af gældende amerikansk ret. Efterretningstjenesterne skal også sikre, at deres medarbejdere bliver oplært i at forstå kravene i den nye lovgivning, herunder oplæring og uddannelse i politikker og procedurer for rapportering og afhjælpning af manglende overholdelse af gældende amerikansk lovgivning. 

To-trins klagesystem og tilsyn

En klage undergives først en indledende undersøgelse hos CLPO, som modtager og undersøger enkeltpersoners krav indgivet via en passende offentlig myndighed i en såkaldt "kvalificeret stat". Det følger af dekretet, hvad justitsministeren skal lægge vægt på, når de kvalificerede stater skal udpeges, herunder i) at amerikanere tilbydes samme beskyttelse i forbindelse med indsamling af personoplysninger fra deres efterretningstjenester, når amerikaneres data overføres til disse staters territorium, ii) at de tillader eller forventes at tillade overførsel af personoplysninger til kommercielle formål mellem deres territorium og USA, og iii) at udpegelsen vil fremme amerikanske nationale interesser.


Hvis CLPO identificerer en juridisk overtrædelse, skal CLPO beslutte, hvad en passende afhjælpning er i den pågældende sag. Herefter udarbejder CLPO en klassificeret rapport til lederen af Justitsministeriets afdeling for national sikkerhed (Assistant Attorney General for National Security), som viderebehandler rapporten i overensstemmelse med de procedurer, vedkommende er underlagt. Når undersøgelsen er afsluttet, skal CLPO informere klageren om undersøgelsen via den behørige offentlige myndighed i den kvalificerede stat uden dog hverken at be- eller afkræfte, om den pågældende klager har været genstand for efterretningstjenesternes indsamlingsaktiviteter. Dekretet foreskriver, at efterretningsfællesskabet skal samarbejde med CLPO og overholde enhver beslutning om afhjælpende foranstaltninger.


CLPO's afgørelse kan efterprøves i Data Protection Review Court, som består af tre udpegede dommere pr. sag. Disse dommere vælges ud fra en liste af personer uden for regeringen, der er udvalgt af justitsministeren med input fra handelsministeren, direktøren for National Efterretningstjeneste og Privacy and Civil Liberties Oversight Board (PCLOB). Klageren/sagsøgeren vil få en særlig advokat, der skal repræsentere vedkommende for Data Protection Review Court.  


Data Protection Review Court har beføjelser til at undersøge klagesager indgivet af europæere, herunder til at indhente relevante oplysninger fra efterretningstjenester, og vil være i stand til at træffe bindende afhjælpende afgørelser. Hvis Data Protection Review Court fx finder, at data er blevet indsamlet i strid med de sikkerhedsforanstaltninger, der er fastsat i dekretet, vil retsinstansen være i stand til at beordre sletning af sådanne data.


Det følger også af dekretet, at både Handelsministeriet og PCLOB skal føre tilsyn med efterretningsfællesskabet. Handelsministeriet skal vurdere hvert femte år, om der er nogle af de behandlede sager, der ikke længere anses for at være klassificerede, så disse løbende kan offentliggøres af hensyn til gennemsigtighed. PCLOB opfordres i dekretet til én gang årligt at vurdere klageprocessen, herunder blandt andet at vurdere, om sagerne er behandlet inden for en rimelig frist, og om CLPO og Data Protection Review Court har fuld adgang til relevante informationer i forbindelse med deres behandling af klagesagerne mv.


Ifølge EU-Kommissionen, som allerede har været ude med en første kommentar til dekretet, er ovenstående en væsentlig forbedring af de mekanismer, som eksisterede under Privacy Shield-ordningen, hvor de registrerede kunne henvende sig til en Ombudsmand, som var en del af regeringen og hverken havde undersøgelsesbeføjelser eller bindende beslutningskompetence.

Hvad er de(t) næste skridt?

EU-Kommissionen har meddelt, at Kommissionen nu går videre til næste skridt, som indebærer udarbejdelse af udkast til afgørelse om tilstrækkelighed og iværksættelse af vedtagelsesproceduren. Vedtagelsesproceduren for en tilstrækkelighedsvurdering af et overførselsgrundlag består af forskellige trin, herunder indhentelse af udtalelse fra Det Europæiske Databeskyttelsesråd (EDPB) og godkendelse fra et udvalg bestående af repræsentanter fra medlemsstaterne. Herudover har EU-Parlamentet ret til at føre kontrol med tilstrækkelighedsvurderinger.


Først derefter kan EU-Kommissionen vedtage den endelige beslutning om tilstrækkelighed i forhold til USA og den nye ramme for et sikkert overførselsgrundlag. Det betyder helt konkret, at det først er fra dette øjeblik, personoplysninger vil kunne udveksles frit mellem virksomheder i EU og USA, der er certificeret af Handelsministeriet under den nye ramme. Amerikanske virksomheder vil være i stand til at tilslutte sig rammen ved at forpligte sig til at overholde en række databeskyttelsesretlige krav.

EU-Kommissionen tror ikke, EU-Domstolen vil underkende den nye aftale

EU-Kommissionen har i sin pressemeddelelse adresseret, hvorfor Kommissionen mener, at EU-Domstolen ikke vil underkende den nye aftale, nemlig at hele formålet med forhandlingerne har været at imødegå de bekymringer, som EU-Domstolen rejste i Schrems II-dommen. Dette afspejles i de ovenfor beskrevne sikkerhedsforanstaltninger, der direkte adresserer bekymringerne i Schrems II-dommen, herunder hvad angår den materielle begrænsning af efterretningstjenesternes adgang til data (principperne om nødvendighed og proportionalitet) samt etablering af det nye to-trins klagesystem med bindende beslutningskompetence.  


EU-Kommissionen bemærker også, at alle de sikkerhedsforanstaltninger, som EU-Kommissionen har aftalt med den amerikanske regering på området for national sikkerhed, inklusive to-trins klagesystemet, vil være tilgængelig for alle overførsler af personoplysninger til USA, der er omfattet af GDPR, uanset hvilket overførselsgrundlag der anvendes.


Kromann Reumerts bemærkninger

Joe Bidens dekret betyder ikke, at danske virksomheder og myndigheder allerede nu kan overføre personoplysninger til USA uden et overførselsgrundlag i medfør af kapitel 5 i databeskyttelsesforordningen og uden opfyldelse af de krav, som følger af Schrems II-dommen. Dette er bekræftet i en nyhed fra Datatilsynet i fredags. Det er derfor vigtigt, at dataansvarlige fortsat forholder sig til overførselsgrundlag og de supplerende tekniske sikkerhedsforanstaltninger, som skal iagttages ved overførsler af personoplysninger til USA på nuværende tidspunkt. Ved vurderingen og evt. udarbejdelse af Transfer Impact Assessments (TIA) kan det muligvis spille ind, at dele af den nye lovgivning allerede formelt set har virkning, og at klagesystemet gælder fra december.


Der er allerede kommet mange reaktioner på dekretet, herunder også de første kritiske bemærkninger fra bl.a. nonprofitorganisationen None Of Your Business (NYOB).


I øjeblikket er forventningen, at overførselsgrundlaget tidligst vil kunne anvendes fra marts 2023. Uanset hvornår en afgørelse kan forventes, er det dog vigtigt at være opmærksom på, at den kommende lovgivning ikke løser de helt parallelle udfordringer med overførsel af personoplysninger til andre lande uden for EU/EØS, som ikke vurderes at tilbyde et beskyttelsesniveau, der i det væsentlige svarer til niveauet inden for EU/EØS. I situationer med data- eller underdatabehandlere i disse lande skal der derfor fortsat foretages en vurdering af, hvilke tekniske supplerende foranstaltninger der skal iagttages for at bringe beskyttelsesniveauet til et niveau, der i det væsentlige svarer til beskyttelsesniveauet inden for EU/EØS.


Datatilsynet har senest udtalt sig herom i sin afgørelse vedrørende brugen af Google Chromebook, hvor det fremgår, at den dataansvarlige skal tilvejebringe et gyldigt overførselsgrundlag til alle de tredjelande, hvortil personoplysninger kan blive overført som led i leveringen af en ydelse i henhold til et aftalegrundlag, herunder også ved service og support.


Kromann Reumert står naturligvis klar til at sparre med jer om betydningen af den nye amerikanske lovgivning, herunder hvordan I skal forholde jer til situationen, imens vedtagelsesproceduren pågår, ligesom vi tilbyder bistand i forbindelse med udarbejdelse og revidering af TIA'er i lyset af den nye lovgivning mv.

Gå ikke glip af vigtig juridisk viden - Tilmeld dig vores gratis nyhedsservice her →
Har du spørgsmål til dette indlæg, er du mere end velkommen til at kontakte os.
Fagligt indhold, der kunne være relevante for dig
Tredjelandsoverførsler og den nye aftale med USA
Jurainfo Exclusive logo
PODCAST
Tredjelandsoverførsler og den nye aftale med USA
Vi sætter fokus på overførsel af personoplysninger til usikre tredjelande, herunder overførsler til USA baseret på den nye aftale mellem EU og USA.
4 år med GDPR
Jurainfo Exclusive logo
PODCAST
4 år med GDPR
Hvordan ligger landet 4 år efter ikrafttrædelsen af Databeskyttelsesforordningen?
Hvornår må du udsende nyhedsbreve og tilbud til dine kunder?
Jurainfo logo
EXCLUSIVE
VIDEO
Hvornår må du udsende nyhedsbreve og tilbud til dine kunder?
Det kræver et markedsføringssamtykke fra dine kunder, hvis du ønsker at udsende nyhedsmail, sms'er eller på anden måde kontakte dem med gode tilbud. Advokat, Torsten Hylleberg, kommer her nærmere ind på hvad du skal være opmærksom på i forbindelse med indhentelse af markedsføringssamtykker.
Artikler, der kunne være relevante for dig
Manglende open source policy udgør en risiko for softwarevirksomheder
Manglende open source policy udgør en risiko for softwarevirksomheder
01/03/2024
Persondata, Compliance, IT- og telekommunikation
Chromebook-sagens relevans – herunder når du udleverer en computer eller mobiltelefon som arbejdsredskab
Chromebook-sagens relevans – herunder når du udleverer en computer eller mobiltelefon som arbejdsredskab
08/03/2024
Persondata, IT- og telekommunikation
Datatilsynet og Digitaliseringsstyrelsen etablerer AI-sandkasse
Datatilsynet og Digitaliseringsstyrelsen etablerer AI-sandkasse
11/03/2024
Persondata, IT- og telekommunikation, Compliance
AI Act vedtaget af Europa-Parlamentet
AI Act vedtaget af Europa-Parlamentet
22/03/2024
Persondata, EU-ret
Træning af kunstig intelligens
Træning af kunstig intelligens
03/04/2024
Persondata, Immaterialret
Ansvaret for cybersikkerhed ligger hos ledelsen
Ansvaret for cybersikkerhed ligger hos ledelsen
08/04/2024
Persondata, Compliance, Øvrige
Jurainfo logo

Jurainfo.dk er landets største juridiske nyhedsside. Her finder du juridiske nyheder, kurser samt ledige juridiske stillinger. Vi hjælper dagligt danske virksomheder med at tilegne sig juridisk viden samt at sætte virksomheder i forbindelse med den rigtige juridiske rådgiver, når de har brug for råd og vejledning.

Jurainfo.dk ApS
CVR-nr. 38375563
Vandtårnsvej 62B, DK-2860 Søborg
(+45) 71 99 01 11
kontakt@jurainfo.dk
Ønsker du hjælp til at finde en specialist?
2024 © Jurainfo.dk - Juridiske nyheder og arrangementer samlet ét sted