Privacy Shield-aftale erstatter Safe Harbor-ordningen

Den 2. februar 2016 meddelte EU-Kommissionen, at der er opnået enighed med de amerikanske myndigheder om en ny aftale for dataoverførsler fra EU til USA. Efter EU-Domstolen i oktober 2015 konkluderede, at Safe Harbor-ordningen var ugyldig, har europæiske virksomheder haft begrænset adgang til at overføre data til USA. Den nye aftale er derfor kærkommen, men den stiller også strengere krav til de amerikanske virksomheders, herunder cloudleverandørers, behandling af europæiske persondata.

EU-VIRKSOMHEDER KAN SNART OVERFØRE DATA TIL USA UNDER PRIVACY SHIELD-AFTALEN
Siden EU-Domstolen for nylig erklærede Safe Harbor-ordningen ugyldig, har ordningen ikke kunnet bruges til dataoverførsler fra EU til USA. Den 2. februar 2016 meddelte EU-Kommissionen, at den var blevet enig med de amerikanske myndigheder om en ny ordning, Privacy Shield-ordningen, til erstatning for Safe Harbor-ordningen. Ligesom med Safe Harbor vil amerikanske virksomheder nu kunne tilslutte sig Privacy Shield-ordningen, hvilket indebærer en mere fri og smidig adgang for europæiske virksomheder til at overføre data til USA uden at skulle indhente særlig tilladelse fra de europæiske databeskyttelsesmyndigheder. Den nye aftale har derfor stor betydning for såvel danske som amerikanske virksomheder og særligt i forbindelse med overførsler til koncernforbudne selskaber og cloudleverandører.

STRENGERE KRAV END UNDER SAFE HARBOR-ORDNINGEN
Privacy Shield-aftalen indeholder en række nye krav i forsøget på at sikre et bedre beskyttelsesniveau af data for europæiske borgere. Ifølge EU-Kommissionen vil de nye krav bl.a. betyde:

• Højere krav til behandling og muligheder for håndhævelse: Der stilles strengere krav til amerikanske virksomheder og myndigheders behandling af europæiske persondata, og videreoverførsel af data til tredjeparter vil ikke være tilladt fremover i samme grad. Det amerikanske handelsdepartement, the Department of Commerce, er nu forpligtet til at holde øje med, at virksomhederne overholder deres forpligtelser efter aftalen. Desuden vil amerikanske virksomheder, som behandler HR-data om europæiske borgere, være forpligtet til at efterkomme afgørelser fra de europæiske databeskyttelsesmyndigheder.


• Klare regler om beskyttelse og gennemsigtighed: For første gang har USA givet EU et skriftligt tilsagn om, at de amerikanske myndigheders adgang til personoplysninger i forbindelse med retshåndhævelse og sager om national sikkerhed vil blive underlagt mere klare begrænsninger. De amerikanske politi- og efterretningsmyndigheder må fremover alene overvåge persondata om europæiske borgere, hvis behandlingen er nødvendig og proportionel, og vilkårlig masseovervågning i USA vil som udgangspunkt ikke længere kunne finde sted. Netop denne masseovervågning var en af grundene til, at Safe Harbor-ordningen blev erklæret ugyldig.


• Bedre klagemuligheder: Europæiske borgeres muligheder for at klage over behandling af data i strid med aftalen vil blive styrket. Fremover vil europæiske borgere kunne klage til det amerikanske handelsministerium, hvis de forgæves har klaget til den virksomhed eller myndighed, som behandler dataene. Det amerikanske handelsministerium vil herefter give den indklagede en frist til at svare, og hvis en løsning stadig ikke nås, har borgerne mulighed for at klage til en amerikansk persondataombudsmand, der bliver uafhængig af den amerikanske efterretningstjeneste.

AFVENTER ENDELIG GODKENDELSE
Næste skridt er, at aftalens endelig ordlyd fastlægges, og at EU-Kommissionen udarbejder en såkaldt "decision on adequacy", dvs. en afgørelse om, at Privacy Shield-aftalen anses for yde et tilstrækkeligt beskyttelsesniveau for data, der overføres fra EU til USA. Desuden vil artikel 29-gruppen komme med en fælles udtalelse om brugen af ordningen, ligesom Datatilsynet forventes at udgive retningslinjer for brug af ordningen for danske virksomheder. Planen er, at EU-Kommissionen og det amerikanske handelsministerium årligt evaluerer Privacy Shield-aftalen.

---