Nyt om overførsel af persondata: EU-Kommissionens standard­kontrakter er i fare, og EU-Parlamentet er kritisk overfor EU-US Privacy Shield

Overførsel af persondata til tredjelande, bl.a. USA, har været genstand for meget opmærksomhed siden EU-Domstolens Safe Harbor-dom i oktober 2015. EU har arbejdet på en ny afløser til Safe Harbor-ordningen – Privacy Shield – men EU-Parlamentet er kritisk overfor forslaget til ordningen. Samtidig ser det også ud til, at EU-Kommissionens standardkontrakter nu kan lide samme skæbne som Safe Harbor-ordningen. Dermed er grundlaget for at overføre personoplysninger til tredjelande i den grad udfordret. Det kan især ramme cloud-leverandører og virksomheder, der opbevarer persondata på servere placeret i USA.


EU-PARLAMENTET ER KRITISK OVERFOR FORSLAG TIL NY PRIVACY SHIELD-ORDNING

EU-Parlamentet har den 26. maj 2016 udtalt sig kritisk om den dataoverførselsaftale (Privacy Shield), som EU og USA har brugt mange kræfter på at få på plads efter faldet af Safe Harbor-ordningen. Artikel 29-gruppen, som bl.a. består af repræsentanter fra samtlige EU-persondatatilsynsmyndigheder, udtalte allerede i april, at aftalen ikke var tilstrækkelig til at yde den nødvendige beskyttelse for de EU-borgere, hvis personoplysninger overføres til USA, og anbefalingen lød på en række forbedringer.

EU-Parlamentet har den samme opfattelse. Det har meldt ud, at der er brug for substantielle forbedringer, før aftalen kan blive en afløser for Safe Harbor-ordningen. Særligt anses de amerikanske myndigheders adgang til EU-borgeres persondata og mulighederne for at udføre masseovervågning som problematiske. Det var netop af disse grunde, at Safe Harbor-ordningen faldt. Desuden peger EU-Parlamentet på, at den amerikanske persondataombudsmand, som skal behandle klager over ulovlig behandling af EU-borgeres personoplysninger, ikke er tilstrækkelig uafhængig og mangler beføjelser i forhold til de opgaver, vedkommende skal kunne varetage.


FORHANDLINGERNE OM PRIVACY SHIELD ER GENOPTAGET

Kritikken af Privacy Shield-aftalen betyder, at EU-Kommissionen og USA må tilbage til forhandlingsbordet. Det var ellers hensigten at vedtage aftalen i juni 2016, men nu må forhandlingspartnerne og virksomheder, som ønsker at benytte sig af ordningen, væbne sig med tålmodighed. Overførsler af persondata fra EU til USA kan som udgangspunkt stadigvæk finde sted på baggrund af EU-Kommissionens standardkontrakter og Binding Corporate Rules samt forudgående, udtrykkeligt samtykke eller evt. andre undtagelsesbestemmelser, som kan finde anvendelse på den konkrete overførsel.


EU-KOMMISSIONENS STANDARDKONTRAKTER ER NU OGSÅ I FARE

Efter faldet af Safe Harbor begyndte Facebook – og mange andre cloud-leverandører og virksomheder med data opbevaret i USA – at bruge EU-standardkontrakter for at overføre persondata til USA. Det irske datatilsyn (Data Protection Commissioner) har dog den 25. maj 2016 oplyst, at det vil forelægge en sag for den højeste retsinstans i Irland (the Irish High Court) vedrørende lovligheden af overførsler af persondata fra EU til USA på baggrund af standardkontrakterne. Det frygtes derfor, at standardkontrakterne nu vil lide samme skæbne som Safe Harbor-ordningen.


BESKYTTER EU-KOMMISSIONENS STANDARDKONTRAKTER MOD MASSEOVERVÅGNING I USA?

Standardkontrakterne er godkendt af EU-Kommissionen og kan ifølge både Datatilsynet og Artikel 29-gruppen stadigvæk lovligt bruges til sådanne overførsler. Maximillian Schrems – som første gang klagede over Facebooks overførsel af personoplysninger til USA via Safe Harbor-ordningen – er overbevist om, at intet kontraktgrundlag kan beskytte hans persondata mod masseovervågning i USA. Ifølge ham kan udfordringen alene løses ved ændringer i amerikansk lovgivning, og han har derfor også klaget over Facebooks overførsler til USA på baggrund af standardkontrakter. Det irske datatilsyn har valgt at behandle klagen, og sagen vil blive forelagt den irske højesteret, hvor det forventes, at retten vil forelægge spørgsmålet for EU-Domstolen.

Det er uvist, hvornår sagen vil blive behandlet, og hvilket resultat EU-Domstolen når. Sagsbehandlingstider ved EU-Domstolen kan være ganske lange, og overførsler af personoplysninger til USA på baggrund af EU-standardkontrakterne vil stadigvæk være gyldige, mens EU-Domstolen behandler sagen.

---