Jurainfo logo
LUK
Juridiske nyheder Arrangementer Find juridisk specialist Jobbørs Domme
Om Jurainfo Juridiske links Privatlivspolitik Kontakt
Bliv forfatter Bliv kursusudbyder Bliv verificeret specialist Bliv jobannoncør
Artikel

EU-US Privacy Shield vedtaget

Bird & Bird
25/07/2016
EU-US Privacy Shield vedtaget
Bird & Bird logo
Privacy Shield-ordningen, der følger i kølvandet på, at den tidligere Safe Harbor-ordning blev kendt ugyldig af EU-domstolen, er den 12. juli 2016 blevet godkendt af EU-kommissionen. Ordningen er en aftale mellem myndighederne i EU og USA, der har til formål at beskytte EU-borgeres grundlæggende rettigheder ved transatlantiske dataoverførsler.


Godkendt


Aftalen, der blev lavet mellem EU-Kommissionen og USA's regering allerede den 2. februar 2016, er nu godkendt. Efter databeskyttelsesmyndighedernes (Artikel 29-gruppen) og Europa-Parlamentets gennemgang anses ordningen for at afspejle de krav, som fremgår af Safe Harbour-dommen (EU-Domstolens dom af 6. oktober 2015).

Artikel 29-gruppen havde oprindeligt en række bekymringer i forhold til Privacy Shield-ordningen.

Artikel-29-gruppen fandt blandt andet, at ordningen generelt var uklart formuleret og svært gennemskuelig, ligesom grundlæggende databeskyttelsesprincipper i EU-lovgivningen ikke var (tilstrækkeligt) gengivet i Privacy Shield.

Derudover fandt Artikel 29-gruppen det nødvendigt, at der i forbindelse med videregivelse af personoplysninger fra en virksomhed under Privacy Shield til en tredjepart blev stillet de samme krav som under Privacy Shield for at sikre imod omgåelse af databeskyttelsesprincipperne.

Artikel 29-gruppen understregede desuden nødvendigheden af at få afklaret klagemulighederne for EU-borgere, da de oprindeligt angivne klagemuligheder var komplekse og besværlige, ligesom problematikken omkring masseovervågning af EU-borgere også blev adresseret.


Hvad er Privacy Shield?


Privacy Shield-ordningen er, ligesom det var tilfældet med Safe Harbor-ordningen, en selvcertificeringsordning, som amerikanske virksomheder kan tilslutte sig. Certificeringen kræver, at de tilsluttende virksomheder skal overholde regler, som sikrer beskyttelsen af personoplysninger fra EU/EØS. Har en amerikansk virksomhed opnået Privacy Shield-certificeringen, vil dette udgøre hjemmel til overførsel af personoplysning fra EU/EØS og til den amerikanske virksomhed.

For at blive certificeret skal den amerikanske virksomhed overholde en række principper, herunder orienteringspligt; gennemsigtighed ved videreoverførsler, sikkerhed; formålsbegrænsning og krav om samtykke ved udvidelse af behandlingsformål eller overførsel til tredjeparter; indsigt, berigtigelse, sletning og indsigelsesret samt en række supplerende principper om f.eks. behandling af følsomme data.

Med Privacy Shield bliver det indført, at de amerikanske myndigheder laver kontrol af overholdelsen af ordningen og kan pålægge virksomhederne sanktioner og eventuelt fratage dem certificeringen, hvis virksomhederne ikke lever op til kravene i Privacy Shield-ordningen.

Reglerne om videreoverførsel af personoplysninger, altså det at en amerikansk virksomhed modtager personoplysninger fra EU og derefter overfører dem til et andet tredjeland – og som ofte blev misbrugt under Safe Harbor – er blevet skærpet, således at der ved videreoverførsler skal overholdes samme regelsæt som ved overførslen til den amerikanske virksomhed.

Borgere, hvis personoplysninger er blevet overført under Privacy Shield, vil kunne klage over eventuelle krænkelser til den certificerede virksomhed, som skal stille en gratis tvistløsningsmulighed til rådighed, hvis klagen ikke imødekommes. Borgere vil også kunne klage til den nationale datatilsynsmyndighed eller ultimativt anlægge en voldgiftssag mod den amerikanske virksomhed.

Der er fra amerikansk side endvidere stillet garantier for, at EU-borgere kan klage over tilsluttede amerikanske virksomheders adfærd i forhold til databehandling til en ny ombudsmand. USA har ligeledes lovet ikke at foretage masseovervågning af persondata, som overføres fra EU til USA under Privacy Shield-ordningen – uden dog at garantere dette for persondata overført under andre ordninger.


Hvad sker der nu?


Privacy Shield-ordningen træder i kraft med det samme. Certificering af virksomheder, der ønsker at behandle persondata under Privacy Shield-ordningen, vil kunne anmeldes til USA's handelsministerium fra den 1. august. Virksomheder, der ønsker at deltage i Privacy Shield-ordningen har indtil da tid til at gennemgå rammerne for ordningen og opfylde kriterierne herfor.

Privacy Shield-ordningen har dog både frem til vedtagelsen og efterfølgende mødt omfattede modstand og kritik, og det blev allerede samme dag som vedtagelsen varslet fra forskellige sider, at Privacy Shield vil blive forsøgt prøvet ved EU-domstolen.

Overføres følsomme personoplysninger eller semi-følsomme under Privacy Shield-ordningen, vil Datatilsynets tilladelse fortsat skulle indhentes, så længe Persondataloven er gældende. Tilladelse til overførsel af følsomme personoplysninger forventes ikke at skulle indhentes, når Persondataforordningen træder endeligt i kraft den 25. maj 2018.

Den endelige udformning af Privacy Shield-ordningen kan findes her og bilagene her.

 

 



 




Gå ikke glip af vigtig juridisk viden - Tilmeld dig vores nyhedsservice her.
Bird & Bird logo
København
Sundkrogsgade 21
2100 København Ø
72 24 12 12
72 24 12 13
denmark@twobirds.com
Nyhedsservice
Gå ikke glip af vigtig juridisk viden
Vælg selv dine interesseområder og modtag juridisk nyt fra landets førende specialister.
Tilmeld dig nu
Faglige videoer, der kunne være relevante for dig
Hvornår må du udsende nyhedsbreve og tilbud til dine kunder?
Det kræver et markedsføringssamtykke fra dine kunder, hvis du ønsker at udsende nyhedsmail, sms'er eller på anden måde kontakte dem med gode tilbud. Advokat, Torsten Hylleberg, kommer her nærmere ind på hvad du skal være opmærksom på i forbindelse med indhentelse af markedsføringssamtykker.
Artikler, der kunne være relevante for dig
Vigtigheden af virksomheders beskyttelse mod økonomisk kriminalitet
Vigtigheden af virksomheders beskyttelse mod økonomisk kriminalitet
I dag
Compliance, Strafferet, Persondata, Finansiering og bankret
Manglende overholdelse af lagringsperioder resulterede i en bøde på 1,75 millioner
Manglende overholdelse af lagringsperioder resulterede i en bøde på 1,75 millioner
10/09/2021
Persondata
Hvornår må du videregive personoplysninger i henhold til GDPR?
Hvornår må du videregive personoplysninger i henhold til GDPR?
02/09/2021
Persondata
Datatilsynet løfter sløret for, hvad Datatilsynet spørger om, når de undersøger organisationers informationssikkerhed
Datatilsynet løfter sløret for, hvad Datatilsynet spørger om, når de undersøger organisationers informationssikkerhed
30/08/2021
Persondata
Må man benytte kropsbårne kameraer - de såkaldte bodycams i forhold til GDPR-reglerne?
Må man benytte kropsbårne kameraer - de såkaldte bodycams i forhold til GDPR-reglerne?
23/08/2021
Persondata
Se spørgsmålene, der danner grundlaget for Datatilsynets tilsyn med informationssikkerhed
Se spørgsmålene, der danner grundlaget for Datatilsynets tilsyn med informationssikkerhed
23/08/2021
Persondata
Jurainfo logo

Jurainfo.dk er landets største juridiske online-platform samt formidler af juridisk viden. Her finder du juridiske nyheder, kurser og arrangementer. Vi hjælper dagligt danske virksomheder med at tilegne sig juridisk viden samt at sætte virksomheder i forbindelse med den rigtige juridiske rådgiver, når de har brug for råd og vejledning.

Jurainfo.dk ApS
CVR-nr. 38375563
Vandtårnsvej 77, DK-2860 Søborg
(+45) 71 99 01 11
kontakt@jurainfo.dk
Ønsker du hjælp til at finde en specialist?
© 2021 Jurainfo.dk - Juridiske nyheder og arrangementer samlet ét sted