Slå koldt vand i blodet: Den nye Safe Harbor-aftale har lang vej igen

Klumme: EU og USA er blevet enige om et udkast til en ny Safe Harbor-aftale. Kritikere kalder den en lappeløsning, mens EU er tilfreds. Foreløbig er der dog lang vej hjem.

I oktober 2015 blev Safe Harbor-ordningen kendt ugyldig af EU-Domstolen.

Dette har efterladt et tomrum i muligheden for at foretage lovlige overførsler af persondata til USA. Nu ser det dog ud som om, at EU Kommissionen og U.S. snart kan byde på en ny Safe Harbor-aftale - den såkaldte "EU-U.S. Privacy Shield".

Det er dog vigtigt at pointere, at der stadig kun er tale om et aftaleudkast.

Større krav til amerikanske virksomheder
Der er stadig ikke fremlagt nogen endelig tekst vedrørende den nye aftale, men ifølge EU-Kommissionen skal den nye EU-U.S. Privacy Shield sikre, at der stilles større krav til og forpligtelser overfor virksomheder etableret i USA.

Vicepræsident Ansip fra EU Kommissionen har om den nye kommende aftale udtalt, at "vores virksomheder, specielt små virksomheder, har den juridiske sikkerhed de behøver, når de udvikler deres aktiviteter på tværs af Atlanten".

Tilsynskontrol med amerikanske myndigheder
Det fremgår desuden af EU-Kommissionens pressemeddelelses, at aftalen vil medføre en skærpet overvågning og håndhævelse fra det amerikanske handelsministerium.

Kravene til samarbejdet mellem de amerikanske og europæiske myndigheder forøges på baggrund af en skriftlig garanti fra USA om, at amerikanske myndigheders adgang til persondata skal underlægges klare begrænsninger i form af sikkerheds- og beskyttelsesforanstaltninger samt tilsynskontrol.

I den forbindelse har EU-Kommissionær Jourová udtalt, at "USA har garanteret, at der ikke vil foretages vilkårlig overvågning eller masseovervågning af europæere".

Klageadgang til ombudsmand
Den effektive beskyttelse af europæiske statsborgere kommer især til udtryk ved, at aftalen ifølge EU-Kommissionen giver enhver statsborger, som mener, at deres data er blevet misbrugt, flere klagemuligheder fremover.

Virksomhederne i USA forpligtes nu til at svare på klager fra borgere, der føler, at deres rettigheder er krænket.

En ny institution i form af en ombudsmand, som er underlagt de amerikanske myndigheder, vil skulle følge op på klager henvist fra europæiske databeskyttelsesmyndigheder angående nationale efterretningstjenesters adgang til europæiske statsborgeres persondata.

Bekymring over aftalen
Den såkaldte Artikel 29-gruppe (WP29) har i en pressemeddelelse udtrykt bekymring om, hvorvidt de nødvendige garantier for den europæiske persondatas beskyttelse kan imødegås af de nuværende retlige rammer i USA.

Aftalen er derudover også blevet kritiseret af blandt andre Maximilian Schrems (manden, der anlagde Safe Harbor-sagen) for at være en lappeløsning, hvor EU-borgeres retsstilling ikke er væsentlig forbedret i forhold til tidligere, og Europaparlamentsmedlemmet Jan Philipp Albrecht, som har været særdeles aktiv i arbejdet med Persondataforordningen, kalder aftalen for en genopvarmning af Safe Harbor.

Næste skridt
Som nævnt er EU-U.S. Privacy Shield stadig på tegnebrættet, og den endelige tekst er endnu ikke offentliggjort.

Næste skridt vil være, at EU-Kommissionen vil udforme et udkast til en såkaldt "adeqaucy decision" det vil sige en afgørelse om, at EU-U.S.

Privacy Shield-aftalen anses for at yde et tilstrækkeligt beskyttelsesniveau for data, der overføres fra EU til U.S.

EU-Kommissionen har udtalt, at denne afgørelse vil blive udarbejdet over de kommende uger.

Herefter vil den blive overleveret til WP29 og repræsentanter fra EU-medlemslandene, som vil gennemgå afgørelsen og komme med deres kommentarer.

Først herefter vil den blive fremlagt for EU-Kommissionen, som på baggrund af disse kommentarer skal beslutte, om EU-U.S. Privacy Shield kan endeligt vedtages.

SCC's og BCR's
Baseret på den fremlagte tidsplan, er det vigtigt at slå koldt vand i blodet.

Der er stadig temmelig lange udsigter til, at der foreligger en endelig og gyldig aftale. Indtil da har WP29 tydeligt udtalt, at virksomheder, der overfører data til tredjelande baseret på enten SCC's (standard contractual clauses) eller BCR's (binding corporate rules), lovligt kan blive ved med det.

(Tak til mine Bird & Bird kollegaer, advokatfuldmægtig Amalie Langebæk og advokat Kamilla Pierdola Mondrup for hjælp med indlægget)


Ytringer på debatten er afsenders eget ansvar - læs debatreglerne
Indlæser debat...

Computerworld
Advarsel til Gmail-brugerne: Lumsk phishing-mail på spil netop nu - sådan spotter du den
Gmail-brugerne skal være på vagt: It-kriminelle forsøger sig i øjeblikket med en udspekuleret phishing-mail. Se her, hvordan du spotter fupnummeret.
CIO
Dansk top-CIO i Svitzer ikke i tvivl: Her er mine hovedopgaver for it i 2017
Planerne for 2017: For Jesper Kingo Christensen, CIO i Mærsk-selskabet Svitzer, bliver 2017 et år med masser af prototype-projekter, der skal bane vejen for digitale satsninger. Skiftet fra et lokalt dansk datacenter til en global cloud-løsning skal dog også realiseres.
Comon
Undgå passwordet: Smart tilbehør til at låse og åbne din computer med Windows Hello
Windows Hello kan mere end blot låse din computer op med dit ansigt. Der findes en lang række muligheder af tilbehør, som kan være med til at sikre din computer mod indtrængere. Se fem af dem her.
Channelworld
Ny EG-direktør har en plan: Sådan skal EG vokse sig større og endnu mere profitabel
Interview: Mikkel Bardram er ny administrerende direktør i EG. Selvom EG nu har 2.000 ansatte og en omsætning på 1,8 milliarder kroner, er der potentiale for endnu mere, mener den nye direktør.
White paper
Invester i nye it-systemer og øg din konkurrencefordel
Sådan øger du antallet af kunder uden at øge bemandingen, få mindre stress i hverdagen og et langt bedre forhold til kunderne end tidligere.