Slå koldt vand i blodet: Den nye Safe Harbor-aftale har lang vej igen

Klumme: EU og USA er blevet enige om et udkast til en ny Safe Harbor-aftale. Kritikere kalder den en lappeløsning, mens EU er tilfreds. Foreløbig er der dog lang vej hjem.

I oktober 2015 blev Safe Harbor-ordningen kendt ugyldig af EU-Domstolen.

Dette har efterladt et tomrum i muligheden for at foretage lovlige overførsler af persondata til USA. Nu ser det dog ud som om, at EU Kommissionen og U.S. snart kan byde på en ny Safe Harbor-aftale - den såkaldte "EU-U.S. Privacy Shield".

Det er dog vigtigt at pointere, at der stadig kun er tale om et aftaleudkast.

Større krav til amerikanske virksomheder
Der er stadig ikke fremlagt nogen endelig tekst vedrørende den nye aftale, men ifølge EU-Kommissionen skal den nye EU-U.S. Privacy Shield sikre, at der stilles større krav til og forpligtelser overfor virksomheder etableret i USA.

Vicepræsident Ansip fra EU Kommissionen har om den nye kommende aftale udtalt, at "vores virksomheder, specielt små virksomheder, har den juridiske sikkerhed de behøver, når de udvikler deres aktiviteter på tværs af Atlanten".

Tilsynskontrol med amerikanske myndigheder
Det fremgår desuden af EU-Kommissionens pressemeddelelses, at aftalen vil medføre en skærpet overvågning og håndhævelse fra det amerikanske handelsministerium.

Kravene til samarbejdet mellem de amerikanske og europæiske myndigheder forøges på baggrund af en skriftlig garanti fra USA om, at amerikanske myndigheders adgang til persondata skal underlægges klare begrænsninger i form af sikkerheds- og beskyttelsesforanstaltninger samt tilsynskontrol.

I den forbindelse har EU-Kommissionær Jourová udtalt, at "USA har garanteret, at der ikke vil foretages vilkårlig overvågning eller masseovervågning af europæere".

Klageadgang til ombudsmand
Den effektive beskyttelse af europæiske statsborgere kommer især til udtryk ved, at aftalen ifølge EU-Kommissionen giver enhver statsborger, som mener, at deres data er blevet misbrugt, flere klagemuligheder fremover.

Virksomhederne i USA forpligtes nu til at svare på klager fra borgere, der føler, at deres rettigheder er krænket.

En ny institution i form af en ombudsmand, som er underlagt de amerikanske myndigheder, vil skulle følge op på klager henvist fra europæiske databeskyttelsesmyndigheder angående nationale efterretningstjenesters adgang til europæiske statsborgeres persondata.

Bekymring over aftalen
Den såkaldte Artikel 29-gruppe (WP29) har i en pressemeddelelse udtrykt bekymring om, hvorvidt de nødvendige garantier for den europæiske persondatas beskyttelse kan imødegås af de nuværende retlige rammer i USA.

Aftalen er derudover også blevet kritiseret af blandt andre Maximilian Schrems (manden, der anlagde Safe Harbor-sagen) for at være en lappeløsning, hvor EU-borgeres retsstilling ikke er væsentlig forbedret i forhold til tidligere, og Europaparlamentsmedlemmet Jan Philipp Albrecht, som har været særdeles aktiv i arbejdet med Persondataforordningen, kalder aftalen for en genopvarmning af Safe Harbor.

Næste skridt
Som nævnt er EU-U.S. Privacy Shield stadig på tegnebrættet, og den endelige tekst er endnu ikke offentliggjort.

Næste skridt vil være, at EU-Kommissionen vil udforme et udkast til en såkaldt "adeqaucy decision" det vil sige en afgørelse om, at EU-U.S.

Privacy Shield-aftalen anses for at yde et tilstrækkeligt beskyttelsesniveau for data, der overføres fra EU til U.S.

EU-Kommissionen har udtalt, at denne afgørelse vil blive udarbejdet over de kommende uger.

Herefter vil den blive overleveret til WP29 og repræsentanter fra EU-medlemslandene, som vil gennemgå afgørelsen og komme med deres kommentarer.

Først herefter vil den blive fremlagt for EU-Kommissionen, som på baggrund af disse kommentarer skal beslutte, om EU-U.S. Privacy Shield kan endeligt vedtages.

SCC's og BCR's
Baseret på den fremlagte tidsplan, er det vigtigt at slå koldt vand i blodet.

Der er stadig temmelig lange udsigter til, at der foreligger en endelig og gyldig aftale. Indtil da har WP29 tydeligt udtalt, at virksomheder, der overfører data til tredjelande baseret på enten SCC's (standard contractual clauses) eller BCR's (binding corporate rules), lovligt kan blive ved med det.

(Tak til mine Bird & Bird kollegaer, advokatfuldmægtig Amalie Langebæk og advokat Kamilla Pierdola Mondrup for hjælp med indlægget)


Ytringer på debatten er afsenders eget ansvar - læs debatreglerne
Indlæser debat...

Computerworld
Stor dansk netbutik åbner fysiske butikker i Danmark: "Vi skal have magien tilbage - der skal dufte af candy-floss, og det skal ligne et eventyrland"
En af Danmarks største webshops planlægger en større butiksoffensiv til næste år, hvor dørene bliver slået op for adskillige butikker.
CIO
Tidligere indkøbschef i DSB om dom i bestikkelsesag: "Hvis man ryger i fængsel for at have modtaget iPads, er der mange i det offentlige, der bør være bekymrede"
Selv om det er ulovligt at modtage 'smørelse', er der intet unormalt i det, siger tidligere indkøbschef iDSB. Her forklarer han, hvordan og hvorfor, der uddeles gaver til offentligt ansatte.
Comon
Så nemt installerer du en "ren" Windows 10 uden crapware
De fleste nye computere kommer med præ-installerede programmer, der kan gøre din computer langsom. Læs her, hvordan du let installerer Windows 10 uden crapware.
Channelworld
Overblik: Det ved vi efter første retsmøde i den store Atea-bestikkelsessag
Den første sag om bestikkelse af offentlige ansatte kører i disse dage, hvor offentlige ansatte anklages for at have modtaget bestikkelse fra it-giganten Atea.
White paper
Sådan får du et bæredygtigt support- og vedligeholdelsessetup
Hvorfor investere i support og vedligeholdelse af din Microsoft Dynamics platform? I dette white paper får du svaret.