Joe Bidens dekret om overførsel af personoplysninger til USA – et afgørende gennembrud eller en kortsigtet, uholdbar løsning?
Vedtages en tilstrækkelighedsafgørelse, vil virksomheder kunne overføre personoplysninger til USA uden at iværksætte supplerende foranstaltninger, hvilket ellers har været et krav siden Schrems II-afgørelsen i 2020, hvor domstolen erklærede den tidligere aftale med USA (”Privacy Shield”) for ugyldig.
Spørgsmålet er dog, om der herved vil være etableret en holdbar løsning for overførsler af personoplysninger til USA, eller om man med denne aftale blot har ”forlænget verden med brædder”?
Det præsidentielle dekret
Dekretet (”Executive Order”) gennemfører den amerikanske del af principaftalen, der blev indgået mellem EU og USA i foråret, (læs mere om principaftalen her). Dekretet indeholder bl.a. krav om, at:
- Amerikanske efterretningstjenester begrænser indsamling af personoplysninger ved kun at indsamle data, der er nødvendige og proportionale for at forfølge definerede, nationale sikkerhedsmål
- der tages hensyn til privatlivets fred og frihedsrettigheder for alle personer, uanset nationalitet og bopælsland
- Amerikanske efterretningstjenester skal udpege uafhængige embedsmænd, der skal føre tilsyn med overholdelse af reglerne, og som derudover skal sørge for at oplære medarbejdere i reglerne
- Amerikanske efterretningstjenester underlægges et strengt tilsyn af "Civil Liberties Protection Officer”, der i forvejen fører tilsyn med efterretningstjenesterne
- Der indføres en to-trinsklageinstans. Derudover oprettes en databeskyttelsesdomstol (”Data Protection Review Court”), der kan træffe bindende afgørelser om, at efterretningstjenesterne skal slette oplysninger, der er indsamlet ulovligt.
Endnu ikke et gyldigt overførselsgrundlag
Det er vigtigt at understrege, at dekretet ikke allerede nu lovligt kan benyttes som overførselsgrundlag til USA. Se også Datatilsynets udtalelse herom: Nyt om transatlantiske overførsler af personoplysninger (datatilsynet.dk).
EU-Kommissionen er i skrivende stund ved at udarbejde et udkast til afgørelse om tilstrækkelighed og herefter iværksætte vedtagelsesproceduren, hvor bl.a. Det Europæiske Databeskyttelsesråd (EDPB) skal høres.
Først når afgørelsen er vedtaget, vil der foreligge et overførselsgrundlag i form af en tilstrækkelighedsafgørelse. Indtil da anses USA som udgangspunkt stadig for at være et usikkert tredjeland med deraf følgende krav om etablering af supplerende beskyttelsesforanstaltninger, der giver de overførte personoplysninger samme beskyttelsesniveau som i EU. Se herom EDPB’s retningslinjer 01/2020 af 18. juni 2021 (Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data | European Data Protection Board (europa.eu)) og Datatilsynets cloud-vejledning (Vejledning om cloud (datatilsynet.dk))
Det forventes, at EU-Kommissionen vil færdiggøre processen i løbet af 6 måneder, dvs. i marts 2023. Hvis Kommissionen – som forventet – træffer en endelig beslutning om tilstrækkelighed, vil USA ikke længere blive anset for et usikkert tredjeland.
Først fra dette tidspunkt vil personoplysninger frit kunne overføres til virksomheder og organisationer i USA, der er certificeret af det amerikanske handelsministerium under den nye ordning .
Er USA stadig et usikkert tredjeland?
I forbindelse med udstedelsen af det præsidentielle dekret blev der vedtaget en række ændringer af amerikansk lovgivning, der har til formål at tilnærme de amerikanske regler EU’s databeskyttelsesprincipper i form af bl.a. krav om proportionalitet, myndighedskontrol og klagemuligheder for de registrerede.
Disse regler er allerede trådt i kraft, ligesom klagesystemet indføres i december i år.
Dette rejser spørgsmålet om, der er grundlag for at revidere opfattelsen af USA som et usikkert tredjeland både i relation til allerede gennemførte og nye Transfer Impact Assessments (TIA).
I givet fald vil der allerede nu kunne ske overførsler til USA uden at etablere passende beskyttelsesforanstaltninger.
I Bird & Bird har vi foretaget de første vurderinger heraf for en række af vores klienter. Såfremt du ønsker at høre mere herom, er du velkommen til at kontakte vores persondataretsteam.
En holdbar løsning?
Organisationen ”noyb", der bl.a. har Max Schrems som medstifter, har udtalt, at den ikke anser dekretet for i tilstrækkelig grad at begrænse den masseovervågning, der i dag finder sted i USA. Endvidere mener organisationen ikke, at ordene ”nødvendig” og ”proportional” har den samme betydning i amerikansk og europæisk lovgivning. Noyb frygter derfor, at amerikanske efterretningstjenester stadig vil foretage indsamling og overvågning af oplysninger om EU-borgere, der går videre end EU’s databeskyttelsesprincipper tillader.
Derudover anser ”noyb” ikke den nye to-trinsklageinstans for at være en rigtig domstol, der lever op til kravene i Chartrets artikel 47, da domstolen vil være et organ under den amerikanske regering.
Det er derfor ikke usandsynligt, at EU-Domstolen i løbet af de kommende år vil komme til at tage stilling til den nye aftale, og det kan i sagens natur ikke udelukkes, at Domstolen også denne gang giver Ma Schrems medhold.
Herudover er det vigtigt at være opmærksom på, at dekretet ikke løser udfordringerne med overførsler af personoplysninger til andre usikre tredjelande end USA. Ved overførsler til sådanne lande skal der derfor fortsat etableres supplerende foranstaltninger for at bringe beskyttelsen op på et niveau, der i det væsentlige svarer til beskyttelsen i EU/EØS.
Alligevel er vi i Bird & Bird forsigtige optimister for så vidt angår, at der med dette initiativ er etableret en holdbar løsning for navnlig brugen af amerikanske cloud-løsninger. Dette skyldes navnlig følgende:
- Selvom ordningen alene dækker USA, er det i relation til cloud-løsninger i overvejende grad overførslerne til netop USA, der har skabt problemer på grund af de amerikanske regler om efterretningsmyndighedernes adgang til sådanne oplysninger
- Ordningen vil – når den vedtages, forventeligt i marts 2023 – utvivlsomt udgøre et lovligt overførselsgrundlag, indtil den måtte blive kendt ugyldig af EU-Domstolen. Dette vil formentlig tidligst ske 4-5 år ude i fremtiden. Og skulle det – mod vores forventning ske – vil virksomheder m.fl., der har overført oplysninger til USA i medfør heraf, sandsynligvis få et rimeligt varsel til at etablere de nødvendige supplerende beskyttelsesforanstaltninger, et nyt overførselsgrundlag eller i yderste konsekvens at bringe overførslerne til ophør. Vi anser det heller ikke for sandsynligt, at virksomheder m.fl., der har benyttet ordningen, vil blive pålagt bøder eller andre sanktioner.
- Sidst men ikke mindst, tror vi – i lighed med Kommissionen på – at man denne gang rent faktisk har etableret en ordning, der i tilstrækkelig grad tilgodeser EU’s databeskyttelsesprincipper. Som anført af EU-Kommissionen er hele formålet med den nye ordning at imødegå de bekymringer, som EU-Domstolen rejste i Schrems II-dommen. Dette afspejles i de ovenfor omtalte ændringer af amerikansk lovgivning, herunder principperne om nødvendighed og proportionalitet samt etablering af det nye klagesystem.
Hvis du har spørgsmål eller behov for sparring om de nye amerikanske regler eller den nye aftale med USA, er du velkommen til at kontakte én af specialisterne i vores persondaretsteam.