EU-Kommissionen vedtog den 10. juni en beslutning om det såkaldte EU-U.S. Data Privacy Framework. Det nye Framework har til formål at sikre en sikker og retfærdig behandling af personoplysninger og tilbyder et fleksibelt alternativ til EU-Kommissionens standardkontraktklausuler, som indtil nu har været flittigt brugt ved overførsel af personoplysninger til USA. En positiv konsekvens af denne beslutning er, at personoplysninger nu kan overføres sikkert mellem EU og amerikanske virksomheder, der har certificeret sig under EU-U.S. Data Privacy Framework, uden behov for yderligere databeskyttelsesforanstaltninger.
For at imødekomme bekymringerne, som blev rejst af EU-Domstolen, er det nye Framework blevet styrket med nye bindende sikkerhedsforanstaltninger. Disse foranstaltninger inkluderer begrænset adgang til EU-data for amerikanske efterretningstjenester. Adgangen til data gives udelukkende, når det er nødvendigt og proportionalt.
Der er også blevet etableret en Data Protection Review Court (DPRC), som giver EU-borgere mulighed for at indbringe klagesager til domstolen i USA. Det nye Framework repræsenterer dermed en betydelig forbedring i forhold til den tidligere EU-U.S. Privacy Shield-ordning.
En væsentlig forbedring i den nye EU-U.S. Data Privacy Framework er, at DPRC har beføjelse til at pålægge sletning af data, hvis det konstateres, at personoplysninger er indsamlet i strid med de fastsatte sikkerhedsforanstaltninger. Disse sikkerhedsforanstaltninger vedrørende myndigheders adgang til data supplerer de forpligtelser, som amerikanske virksomheder har, når de importerer data fra EU.
En væsentlig fordel for EU-borgere er, at de vil have adgang til flere retsmidler, hvis deres oplysninger bliver behandlet i strid med GDPR af amerikanske virksomheder. Dette inkluderer uafhængige organer til tvistbilæggelse og voldgift, som EU-borgere kan benytte uden omkostninger. Endvidere vil EU-borgere have adgang til et uafhængigt og upartisk organ, der håndterer erstatningssager vedrørende indsamling og behandling af personoplysninger af amerikanske efterretningstjenester, herunder DPRC. DPRC vil undersøge og behandle klagesager uafhængigt og vil have beføjelse til at træffe bindende retsmidler.
For at tilslutte sig EU-U.S. Data Privacy Framework skal amerikanske virksomheder forpligte sig til at overholde en række databeskyttelsesforpligtelser. Disse forpligtelser omfatter blandt andet kravet om at slette personoplysninger, når de ikke længere er nødvendige, samt sikring af kontinuert databeskyttelse, når personoplysninger deles med tredjeparter.
EU-Kommissionen vil fremover regelmæssigt evaluere EU-U.S. Data Privacy Framework i samarbejde med repræsentanter for europæiske databeskyttelsesmyndigheder og relevante amerikanske myndigheder. Den første evaluering vil finde sted inden for et år efter beslutningens ikrafttræden for at sikre, at alle relevante elementer er endeligt implementeret i den amerikanske lovgivning og fungerer effektivt i praksis.
Datatilsynet vil i denne sammenhæng i kommende tid opdatere tilsynets vejledninger om cloud og overførsel af personoplysninger til tredjelande samt hjemmesidetekster om overførsel til USA.
Du kan læse mere under EU-Kommissionens pressemeddelelse her.
Max Schrems, medstifter af organisationen NOYB, har allerede udtrykt forbehold over for det beskyttelsesniveau, som det nye EU-U.S. Data Privacy Framework garanterer.
Max Schrems udtaler b.la. følgende: Max Schrems: "We now had 'Harbors', 'Umbrellas', 'Shields' and 'Frameworks' - but no substantial change in US surveillance law. The press statements of today are almost a literal copy of the once from the past 23 years. Just announcing that something is 'new', 'robust' or 'effective' does not cut it before the Court of Justice. We would need changes in US surveillance law to make this work - and we simply don't have it."
Det må forventes, at NOYB vil udfordre EU-U.S. Data Privacy Framework, og det kan ikke udelukkes, at virksomhedernes adgang til en fleksibel dataoverførselsløsning mellem EU og USA bliver kortvarig. Det vil kun tiden vise.
I Bird & Bird følger vi udviklingen tæt og, selv hvis NYOB for tredje gang udfordrer tilstrækkelighedsafgørelsen – vil det nye Framework utvivlsomt udgøre et lovligt overførselsgrundlag til de amerikanske virksomheder, der har tilsluttet sig EU-U.S. Data Privacy Framework, indtil den eventuelt måtte blive kendt ugyldig af EU-Domstolen.
Hvis du har spørgsmål eller behov for sparring om overførsel af personoplysninger til tredjelande eller det nye EU-U.S. Data Privacy Framework er du velkommen til at kontakte en af vores specialister i vores persondatateam.