Privacy Shield-aftalen er nu godkendt af EU-Kommissionen og kan anvendes til at overføre personoplysninger fra Europa til USA. Aftalen skal gøre adgangen for overførsel af personoplysninger til USA mere smidig, og den har især betydning for danske virksomheder, der benytter sig af amerikanske cloud-leverandører. Samtidig har Datatilsynet udgivet en tjekliste, som virksomheder med fordel kan gennemgå for at sikre, at de vil være i stand til at overholde de nye regler i persondataforordningens regler fra 2018.
PRIVACY SHIELD-AFTALEN KAN BRUGES SOM OVERFØRSELSGRUNDLAG
EU-Kommissionen har nu godkendt Privacy Shield-aftalen, og samtidig er den endelige version af aftalen blevet offentliggjort. Det betyder, at der er fundet en erstatning for den tidligere Safe Harbor-ordning, som EU-Domstolen erklærede ugyldig tilbage i oktober 2015. Med godkendelsen har EU-Kommissionen afgjort, at den nye Privacy Shield-aftale sikrer et tilstrækkeligt beskyttelsesniveau for overførsler af persondata fra EU til USA. Da aftalen indebærer en mere fri og smidig adgang for europæiske virksomheder til at overføre ikke-følsomme personoplysninger til USA, kan den få stor betydning for danske virksomheder og særligt i forbindelse med overførsler til cloudleverandører og koncernforbudne amerikanske selskaber.
Siden den 1. august 2016 har amerikanske virksomheder kunnet tilslutte sig den nye Privacy Shield-aftale gennem det amerikanske Handelsdepartements hjemmeside. Ved at tilslutte sig aftalen forpligter de amerikanske virksomheder sig til at følge de særlige regler for beskyttelse af personoplysninger, som aftalen indebærer. Det amerikanske Handelsdepartement skal nu ikke kun føre tilsyn med virksomheder, som er tilsluttet aftalen, men også virksomheder, som af forskellige grunde ikke længere er tilsluttet aftalen. Tilsynet skal sikre, at virksomheder, som ikke længere er tilsluttet aftalen, tilbageleverer eller sletter de persondata, som de har været i besiddelse af.
DET TYSKE DATATILSYN VIL HAVE EU-DOMSTOLEN TIL AT EFTERPRØVE GYLDIGHEDEN AF PRIVACY SHIELD-AFTALEN
EU-Kommissionen har med den endelige udgave af Privacy Shield-aftalen tilkendegivet, at den nye aftale tager højde for EU-Domstolens præmisser i Safe Harbor-sagen. Kommissionen mener derfor ikke, at Privacy Shield-aftalen vil give anledning til en lignende domstolsprøvelse.
Men ikke alle i EU er enige i EU-Kommissionens fortolkning. Artikel 29-gruppen anfægtede en række delelementer af aftalen, og det tyske datatilsyn i Hamborg har ligefrem udtalt, at gyldigheden af den nye Privacy Shield-aftale skal efterprøves af EU-Domstolen. Bl.a. ønsker tilsynet, at EU-domstolen skal tage stilling til, om de amerikanske myndigheders adgang til personoplysninger, som er overført til USA, er tilstrækkeligt begrænset til kun at gælde i nødvendige og proportionale tilfælde. Som lovgivningen er i Tyskland lige nu, er det imidlertid ikke muligt for det tyske datatilsyn at anlægge sag om gyldigheden af Privacy Shield-aftalen ved EU-Domstolen.
DATATILSYNET HAR OFFENTLIGGJORT EN TJEKLISTE TIL DANSKE VIRKSOMHEDER
Imens Privacy Shield-aftalen faldt på plads, har det danske datatilsyn udarbejdet og offentliggjort en tjekliste med 12 spørgsmål, som danske virksomheder som dataansvarlig allerede nu med fordel kan gennemgå som led i forberedelserne til, at den nye persondataforordning træder i kraft den 25. maj 2018.
Tjeklisten har til formål at synliggøre de primære forskelle mellem reglerne i den nuværende persondatalov og de nye regler i persondataforordningen, så danske virksomheder har nemmere ved at overskue hvilke tiltag, der skal foretages for at kunne leve op til de nye regler. Manglende overholdelse efter den 25. maj 2018 kan medføre bøder på op til 4% af virksomhedens årlige globale omsætning, hvorfor det er vigtigt, at danske virksomheder er klar til at overholde reglerne, når de træder i kraft.
Tjeklisten indeholder bl.a. spørgsmål om kendskab til forordningen, typer af personoplysninger, information til de registrerede, indhentelse af samtykke, brud på persondatasikkerheden, særlige risici og behandling af oplysninger på tværs af landegrænser.
Se Datatilsynets tjekliste
her
Gå ikke glip af vigtig juridisk viden - Tilmeld dig vores gratis nyhedsservice
her →