Som det nok er gået op for de fleste, der beskæftiger sig med GDPR, udstedte den amerikanske præsident, Joe Biden, i starten af oktober 2022 et dekret om overførsel af personoplysninger fra EU til USA. EU-Kommissionen skal nu udarbejde et udkast til afgørelse om tilstrækkelighed og dernæst iværksætte vedtagelsesproceduren.
Vedtages en tilstrækkelighedsafgørelse, vil virksomheder kunne overføre personoplysninger til USA uden at iværksætte supplerende foranstaltninger, hvilket ellers har været et krav siden Schrems II-afgørelsen i 2020, hvor domstolen erklærede den tidligere aftale med USA (”Privacy Shield”) for ugyldig.
Spørgsmålet er dog, om der herved vil være etableret en holdbar løsning for overførsler af personoplysninger til USA, eller om man med denne aftale blot har ”forlænget verden med brædder”?
Dekretet (”Executive Order”) gennemfører den amerikanske del af principaftalen, der blev indgået mellem EU og USA i foråret, (læs mere om principaftalen her). Dekretet indeholder bl.a. krav om, at:
Det er vigtigt at understrege, at dekretet ikke allerede nu lovligt kan benyttes som overførselsgrundlag til USA. Se også Datatilsynets udtalelse herom: Nyt om transatlantiske overførsler af personoplysninger (datatilsynet.dk).
EU-Kommissionen er i skrivende stund ved at udarbejde et udkast til afgørelse om tilstrækkelighed og herefter iværksætte vedtagelsesproceduren, hvor bl.a. Det Europæiske Databeskyttelsesråd (EDPB) skal høres.
Først når afgørelsen er vedtaget, vil der foreligge et overførselsgrundlag i form af en tilstrækkelighedsafgørelse. Indtil da anses USA som udgangspunkt stadig for at være et usikkert tredjeland med deraf følgende krav om etablering af supplerende beskyttelsesforanstaltninger, der giver de overførte personoplysninger samme beskyttelsesniveau som i EU. Se herom EDPB’s retningslinjer 01/2020 af 18. juni 2021 (Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data | European Data Protection Board (europa.eu)) og Datatilsynets cloud-vejledning (Vejledning om cloud (datatilsynet.dk))
Det forventes, at EU-Kommissionen vil færdiggøre processen i løbet af 6 måneder, dvs. i marts 2023. Hvis Kommissionen – som forventet – træffer en endelig beslutning om tilstrækkelighed, vil USA ikke længere blive anset for et usikkert tredjeland.
Først fra dette tidspunkt vil personoplysninger frit kunne overføres til virksomheder og organisationer i USA, der er certificeret af det amerikanske handelsministerium under den nye ordning .
I forbindelse med udstedelsen af det præsidentielle dekret blev der vedtaget en række ændringer af amerikansk lovgivning, der har til formål at tilnærme de amerikanske regler EU’s databeskyttelsesprincipper i form af bl.a. krav om proportionalitet, myndighedskontrol og klagemuligheder for de registrerede.
Disse regler er allerede trådt i kraft, ligesom klagesystemet indføres i december i år.
Dette rejser spørgsmålet om, der er grundlag for at revidere opfattelsen af USA som et usikkert tredjeland både i relation til allerede gennemførte og nye Transfer Impact Assessments (TIA).
I givet fald vil der allerede nu kunne ske overførsler til USA uden at etablere passende beskyttelsesforanstaltninger.
I Bird & Bird har vi foretaget de første vurderinger heraf for en række af vores klienter. Såfremt du ønsker at høre mere herom, er du velkommen til at kontakte vores persondataretsteam.
En holdbar løsning?
Organisationen ”noyb", der bl.a. har Max Schrems som medstifter, har udtalt, at den ikke anser dekretet for i tilstrækkelig grad at begrænse den masseovervågning, der i dag finder sted i USA. Endvidere mener organisationen ikke, at ordene ”nødvendig” og ”proportional” har den samme betydning i amerikansk og europæisk lovgivning. Noyb frygter derfor, at amerikanske efterretningstjenester stadig vil foretage indsamling og overvågning af oplysninger om EU-borgere, der går videre end EU’s databeskyttelsesprincipper tillader.
Derudover anser ”noyb” ikke den nye to-trinsklageinstans for at være en rigtig domstol, der lever op til kravene i Chartrets artikel 47, da domstolen vil være et organ under den amerikanske regering.
Det er derfor ikke usandsynligt, at EU-Domstolen i løbet af de kommende år vil komme til at tage stilling til den nye aftale, og det kan i sagens natur ikke udelukkes, at Domstolen også denne gang giver Ma Schrems medhold.
Herudover er det vigtigt at være opmærksom på, at dekretet ikke løser udfordringerne med overførsler af personoplysninger til andre usikre tredjelande end USA. Ved overførsler til sådanne lande skal der derfor fortsat etableres supplerende foranstaltninger for at bringe beskyttelsen op på et niveau, der i det væsentlige svarer til beskyttelsen i EU/EØS.
Alligevel er vi i Bird & Bird forsigtige optimister for så vidt angår, at der med dette initiativ er etableret en holdbar løsning for navnlig brugen af amerikanske cloud-løsninger. Dette skyldes navnlig følgende:
Hvis du har spørgsmål eller behov for sparring om de nye amerikanske regler eller den nye aftale med USA, er du velkommen til at kontakte én af specialisterne i vores persondaretsteam.