EU-Kommissionen har nu offentliggjort teksten til den nye Privacy Shield-aftale

EU-Domstolen erklærede Safe Harbor-ordningen ugyldig i oktober 2015. Efterfølgende har EU-Kommissionen arbejdet på en ny aftale, den såkaldte EU-US Privacy Shield-aftale. Formålet med aftalen er at muliggøre overførsler af persondata fra EU til USA, uden at der skal indhentes særlig tilladelse hertil fra de europæiske datatilsynsmyndigheder. EU-Kommissionen har nu offentliggjort teksten til Privacy Shield-aftalen og udkastet til afgørelse om, at aftalen vil skabe tilstrækkelig beskyttelse for overførsel af persondata til USA.

Den 6. oktober 2015 erklærede EU-Domstolen Safe Harbor-ordningen ugyldig. Ordningen gjorde det muligt at overføre persondata mellem f.eks. et dansk datterselskab og dets amerikanske moderselskab, hvis det amerikanske moderselskab havde tilmeldt sig Safe Harbor-ordningen.

Datatilsynet udtalte efterfølgende, at ordningen ikke længere kunne bruges som grundlag for dataoverførsel til USA, hvormed virksomhederne måtte finde Safe Harbor-alternative løsninger. Eksempelvis kunne virksomhederne vælge at indgå EU-modelkontrakter med det selskab i USA, som skulle modtage europæiske persondata. Datatilsynet udtalte i tilknytning hertil, at tidligere udstedte Safe Harbor-tilladelser, som danske virksomheder havde opnået til overførsel af følsomme oplysninger til Safe Harbor-certificerede virksomheder i USA, nu var ugyldige og uden retsvirkning.

Den 2. februar 2016 meddelte EU-Kommissionen, at der var opnået enighed om en ny aftale (“EU-US Privacy Shield”), som skulle erstatte Safe Harbor-ordningen. EU-Kommissionen har nu offentliggjort aftalens tekst og udkastet til afgørelse om, at aftalen vil sikre tilstrækkelig beskyttelse for overførsel af persondata til USA.

Privacy Shield-ordningen vil på visse punkter fungere på samme måde som Safe Harbor-ordningen. Ordningen vil således blive administreret af det amerikanske Handelsdepartement, ligesom det vil være muligt at tilslutte sig ordningen og dermed opnå ret til overførsel af persondata fra EU uden indhentelse af særlig tilladelse hertil fra de europæiske datatilsynsmyndigheder.

Privacy Shield-ordningen indeholder dog en række nye elementer, der skal sikre et tilstrækkeligt beskyttelsesniveau af persondata.

FLERE FORPLIGTELSER FOR VIRKSOMHEDER OG EFFEKTIV HÅNDHÆVELSE
Privacy Shield-ordningen medfører for det første flere forpligtelser for virksomhederne, herunder skærpede regler i forhold til videregivelse af persondata til andre virksomheder omfattet af Privacy Shield-ordningen. Såfremt virksomhederne ikke overholder reglerne, vil de blive mødt med skærpede sanktioner eller eksklusion fra ordningen.

KLARE GARANTIER OG BEGRÆNSNINGER I FORHOLD TIL DE AMERIKANSKE MYNDIGHEDERS DATAADGANG
Ordningen medfører derudover begrænsninger i de amerikanske myndigheders adgang til de fremsendte persondata. Hidtil har de amerikanske myndigheder haft vid adgang til persondata, såfremt formålet var at beskytte den nationale sikkerhed. Denne adgang vil nu være underlagt klare begrænsninger, sikkerhedsforanstaltninger og tilsynsmekanismer, som skal forhindre en generel adgang til persondata. For at sikre reglernes håndhævelse vil der blive etableret en amerikansk persondata-ombudsmand, som skal behandle klager fra EU-borgere, der mener, at deres rettigheder er blevet overtrådt af de amerikanske myndigheder, herunder f.eks. efterretningstjenesterne.

FLERE KLAGEMULIGHEDER
Der vil endvidere blive indført flere klagemuligheder for at sikre en effektiv beskyttelse af EU-borgernes rettigheder. For det første vil EU-borgere fremover kunne få behandlet deres sag hos deres nationale databeskyttelsesmyndighed, som er forpligtet til at samarbejde med det amerikanske Handelsdepartement. Såfremt myndighederne ikke når frem til en løsning, vil der være en voldgiftsmekanisme, som skal sikre EU-borgeren en afgørelse. Derudover vil amerikanske virksomheder være forpligtet til at besvare klager om behandling af persondata i strid med Privacy Shield-ordningen fra EU-borgere inden for 45 dage. De amerikanske virksomheder kan i sidste ende blive forpligtet til at efterkomme de europæiske databeskyttelsesmyndigheders henstillinger.

ÅRLIG EVALUERING AF AFTALEN
EU-Kommissionen og det amerikanske Handelsdepartement skal evaluere Privacy Shield-ordningen én gang årligt for at sikre, at ordningen fortsat bliver overholdt og fungerer efter hensigten. Kommissionen skal i forbindelse med evalueringen indhente alle relevante oplysninger, herunder oplysninger fra de amerikanske og europæiske datatilsynsmyndigheder samt virksomhedsrapporter. På baggrund heraf skal EU-Kommissionen udarbejde en rapport til brug for Europaparlamentet og Rådet.

Privacy Shield-aftalen skal nu forelægges for medlemsstaterne og for Artikel 29-gruppen, der bl.a. består af repræsentanter fra EU-medlemsstaternes tilsynsmyndigheder, som vil komme med deres kommentarer til aftalen. USA vil i mellemtiden påbegynde forberedelserne til aftalen, herunder etableringen af den nye persondata-ombudsmand. Artikel 29-gruppen forventes at behandle aftalen den 12. – 13. april 2016.

Læs flere nyheder her

Artiklen er forfattet af: