Jurainfo logo
LUK
Juridiske nyheder Kurser Find juridisk specialist Jobbørs Domme
Om Jurainfo Podcasts Juridiske links Privatlivspolitik Kontakt
Ansøg om en profil Bliv kursusudbyder Bliv jobannoncør
Artikel

EU’s persondataekspertgruppe vender tommelfingeren nedad til EU-U.S. Privacy Shield

Delacour
14/04/2016
EU’s persondataekspertgruppe vender tommelfingeren nedad til EU-U.S. Privacy Shield

Persondataekspertgruppen Artikel 29-Gruppen satte i går spørgsmålstegn ved flere dele af erstatningen for Safe Harbour, det såkaldte EU-U.S. Privacy Shield, der af EU-Kommissionen er foreslået som den fremtidige hjemmel til lovlig udveksling af persondata mellem EU og USA.



Udmeldingen fra Artikel 29-Gruppen sker i en pressemeddelelse, der udtrykker ekspertgruppens konklusioner efter længere tids undersøgelse af EU-U.S. Privacy Shield. Konklusionen i pressemeddelelsen lyder, bl.a. at ”the Working Party has strong concerns on both the commercial aspects and the access by public authorities to data transferred under the Privacy Shield”. Bekymringerne skal ses i lyset af, at ekspertgruppen dog byder de forbedringer, som EU-U.S. Privacy Shield indeholder set i forhold til dens forgænger, Safe Harbour, velkomne.

Artikel 29-Gruppens undersøgelse

Artikel 29-Gruppens fokus har været at undersøge, om EU-U.S. Privacy Shield i tilstrækkelig grad afspejler kravene i persondatadirektivet og EU-Domstolens dom af 6. oktober 2015, hvorefter Safe Harbour-ordningen blev erklæret ugyldig, og om det dermed er sikret, at de beskyttelsesforanstaltninger, der træffes i forbindelse med videregivelse af personoplysninger inden for rammer af EU-U.S. Privacy Shield, svarer til EU's databeskyttelsesstandarder. Og det har ekspertgruppen altså samlet set vurderet ikke er tilfældet.

Først og fremmest kritiserer Artikel 29-Gruppen, at de af EU-Kommissionen offentliggjorte dokumenter, der beskriver EU-U.S. Privacy Shield, overordnet set er uklare og svære at navigere i og forstå bl.a. på grund af uoverensstemmelser med anvendelsesområdet for og definitionerne i den nugældende persondatalovgivning.

Herudover er det Artikel 29-Gruppens vurdering, at flere af de grundlæggende beskyttelses- og sikkerhedsprincipper i lovgivningen ikke afspejles i EU-U.S. Privacy Shield, herunder bl.a. reglerne for opbevaring af personoplysninger. Ydermere beskriver EU-U.S. Privacy Shield ikke de sikkerhedsmæssige krav, der skal stilles til overførsler af europæiske borgeres personoplysninger fra amerikanske virksomheder til tredjeparter udenfor USA, og ekspertgruppen kræver i den forbindelse, at der stilles de samme krav til disse tredjeparter som til amerikanske virksomheder under EU-U.S. Privacy Shield. I modsat fald er det ekspertgruppens opfattelse, at EU-U.S. Privacy Shield kan omgås og at beskyttelsen af EU-borgeres personoplysninger derved er illusorisk.

Artikel 29-Gruppen stiller også spørgsmålstegn ved den i EU-U.S. Privacy Shield beskrevne mulighed for EU-borgere til at klage over amerikanske virksomheders behandling af deres personoplysninger. Ekspertgruppen er bekymret for, om klageadgangen vil fungere i praksis, fordi der er risiko for, at EU-borgere vil finde klageadgangen for besværlig og ineffektiv at benytte. I den forbindelse anmoder Artikel 29-Gruppen om, at klageadgangsprocedurerne tydeliggøres. I forlængelse heraf bemærker ekspertgruppen, at det foreslåede ombudsmandsinstitut ikke synes at være tilstrækkeligt uafhængigt og effektivt.

Endeligt kritiserer ekspertgruppen EU-U.S. Privacy Shield for ikke at udelukke, at de amerikanske myndigheder fortsat kan foretage masseovervågning af EU-borgeres personoplysninger, der overføres til amerikanske virksomheder.

Afslutningsvist og på baggrund af ovenstående opfordrer Artikel 29-Gruppen EU-Kommissionen til at fremkomme med løsninger på de udtrykte bekymringer samt tydeliggøre de uklare forhold.

EU-U.S. Privacy Shield

I kølvandet på EU-Domstolens dom af 6. oktober 2015 påbegyndte EU-Kommissionen sammen med USA arbejdet om en ny ordning for transatlantisk udveksling af personoplysninger. Dette arbejde mundede d. 2. februar 2016 ud i, at EU-Kommissionen og USA politisk blev enige om en ny ordning til udveksling af personoplysninger mellem EU og USA, der benævntes EU-U.S. Privacy Shield. D. 29. februar 2016 offentliggjorte EU-Kommissionen lovgivningspakken om oprettelsen af EU-U.S. Privacy Shield. Det er denne lovgivningspakke, som netop har været genstand for Artikel 29-Gruppens undersøgelse og som ekspertgruppen har sammenholdt med de nugældende persondataregler og EU-Domstolens dom af 6. oktober 2015.

EU-U.S Privacy Shield indeholder i hovedtræk:
• En bindende forsikring fra USA til EU om, at den amerikanske stats adgang til persondata vil være begrænset og desuden indeholde væsentlige forbedrede sikkerhedsforanstaltninger, således at det bl.a. er slut med masseovervågning af europæiske borgeres personoplysninger;
•Øget sikring af, at amerikanske virksomheder overholder reglerne for persondatabeskyttelse, og at virksomhederne sanktioneres, hvis ikke reglerne overholdes;
•Europæiske borgere, hvis personoplysninger behandles i USA, sikres en individuel klageadgang ved forskellige muligheder, herunder en ombudsmandsinsitution; og
•Årlig fælles evalueringsmekanisme, hvorunder det løbende vurderes, hvorledes EU-U.S. Privacy Shield fungerer.

Fremtiden for EU-U.S. Privacy Shield

EU-U.S. Privacy Shield’s fremtid ser i sin nuværende form mindre lys ud efter gårsdagens udmelding fra Artikel 29-Gruppen. Selvom ekspertgruppens udtalelse ikke er bindende for EU-Kommissionen og den videre implementering af EU-U.S. Privacy Shield, er der risiko for, at Artikel 29-Gruppens udmelding kan danne grundlag for anlæggelse af sager mod EU-U.S Privacy Shield, hvis ikke ekspertgruppens udtalelse tages alvorligt af EU-Kommissionen.

Inden EU-Kommissionen beslutter, om den vil gå videre med EU-U.S. Privacy Shield i sin nuværende form, afventer EU-Kommissionen udtalelse fra den såkaldte Artikel 31-Gruppe, der forventes at blive offentliggjort i maj 2016.

DELACOURs team af persondataspecialister følger aftalen om EU-U.S. Privacy Shield tæt, og hvis du gerne vil vide yderligere om de mulige konsekvenser af den seneste udvikling, er du velkommen til at kontakte os.

Artikel 29-Gruppens pressemeddelelse kan læses her

 

 






Gå ikke glip af vigtig juridisk viden - Tilmeld dig vores gratis nyhedsservice her →
Fagligt indhold, der kunne være relevante for dig
Hvornår må du udsende nyhedsbreve og tilbud til dine kunder?
Jurainfo logo
EXCLUSIVE
VIDEO
Hvornår må du udsende nyhedsbreve og tilbud til dine kunder?
Det kræver et markedsføringssamtykke fra dine kunder, hvis du ønsker at udsende nyhedsmail, sms'er eller på anden måde kontakte dem med gode tilbud. Advokat, Torsten Hylleberg, kommer her nærmere ind på hvad du skal være opmærksom på i forbindelse med indhentelse af markedsføringssamtykker.
4 år med GDPR
Jurainfo Exclusive logo
PODCAST
4 år med GDPR
Hvordan ligger landet 4 år efter ikrafttrædelsen af Databeskyttelsesforordningen?
Tredjelandsoverførsler og den nye aftale med USA
Jurainfo Exclusive logo
PODCAST
Tredjelandsoverførsler og den nye aftale med USA
Vi sætter fokus på overførsel af personoplysninger til usikre tredjelande, herunder overførsler til USA baseret på den nye aftale mellem EU og USA.
Artikler, der kunne være relevante for dig
Hvornår har I sidst ført tilsyn med jeres databehandlere?
Hvornår har I sidst ført tilsyn med jeres databehandlere?
20/02/2024
Persondata
Implementeringen af NIS2-direktivet bliver forsinket
Implementeringen af NIS2-direktivet bliver forsinket
20/02/2024
Compliance, EU-ret, Persondata
Manglende open source policy udgør en risiko for softwarevirksomheder
Manglende open source policy udgør en risiko for softwarevirksomheder
01/03/2024
Persondata, Compliance, IT- og telekommunikation
Chromebook-sagens relevans – herunder når du udleverer en computer eller mobiltelefon som arbejdsredskab
Chromebook-sagens relevans – herunder når du udleverer en computer eller mobiltelefon som arbejdsredskab
08/03/2024
Persondata, IT- og telekommunikation
Datatilsynet og Digitaliseringsstyrelsen etablerer AI-sandkasse
Datatilsynet og Digitaliseringsstyrelsen etablerer AI-sandkasse
11/03/2024
Persondata, IT- og telekommunikation, Compliance
AI Act vedtaget af Europa-Parlamentet
AI Act vedtaget af Europa-Parlamentet
22/03/2024
Persondata, EU-ret
Jurainfo logo

Jurainfo.dk er landets største juridiske nyhedsside. Her finder du juridiske nyheder, kurser samt ledige juridiske stillinger. Vi hjælper dagligt danske virksomheder med at tilegne sig juridisk viden samt at sætte virksomheder i forbindelse med den rigtige juridiske rådgiver, når de har brug for råd og vejledning.

Jurainfo.dk ApS
CVR-nr. 38375563
Vandtårnsvej 62B, DK-2860 Søborg
(+45) 71 99 01 11
kontakt@jurainfo.dk
Ønsker du hjælp til at finde en specialist?
2024 © Jurainfo.dk - Juridiske nyheder og arrangementer samlet ét sted