Slå koldt vand i blodet: Den nye Safe Harbor-aftale har lang vej igen

Klumme: EU og USA er blevet enige om et udkast til en ny Safe Harbor-aftale. Kritikere kalder den en lappeløsning, mens EU er tilfreds. Foreløbig er der dog lang vej hjem.

I oktober 2015 blev Safe Harbor-ordningen kendt ugyldig af EU-Domstolen.

Dette har efterladt et tomrum i muligheden for at foretage lovlige overførsler af persondata til USA. Nu ser det dog ud som om, at EU Kommissionen og U.S. snart kan byde på en ny Safe Harbor-aftale - den såkaldte "EU-U.S. Privacy Shield".

Det er dog vigtigt at pointere, at der stadig kun er tale om et aftaleudkast.

Større krav til amerikanske virksomheder
Der er stadig ikke fremlagt nogen endelig tekst vedrørende den nye aftale, men ifølge EU-Kommissionen skal den nye EU-U.S. Privacy Shield sikre, at der stilles større krav til og forpligtelser overfor virksomheder etableret i USA.

Vicepræsident Ansip fra EU Kommissionen har om den nye kommende aftale udtalt, at "vores virksomheder, specielt små virksomheder, har den juridiske sikkerhed de behøver, når de udvikler deres aktiviteter på tværs af Atlanten".

Tilsynskontrol med amerikanske myndigheder
Det fremgår desuden af EU-Kommissionens pressemeddelelses, at aftalen vil medføre en skærpet overvågning og håndhævelse fra det amerikanske handelsministerium.

Kravene til samarbejdet mellem de amerikanske og europæiske myndigheder forøges på baggrund af en skriftlig garanti fra USA om, at amerikanske myndigheders adgang til persondata skal underlægges klare begrænsninger i form af sikkerheds- og beskyttelsesforanstaltninger samt tilsynskontrol.

I den forbindelse har EU-Kommissionær Jourová udtalt, at "USA har garanteret, at der ikke vil foretages vilkårlig overvågning eller masseovervågning af europæere".

Klageadgang til ombudsmand
Den effektive beskyttelse af europæiske statsborgere kommer især til udtryk ved, at aftalen ifølge EU-Kommissionen giver enhver statsborger, som mener, at deres data er blevet misbrugt, flere klagemuligheder fremover.

Virksomhederne i USA forpligtes nu til at svare på klager fra borgere, der føler, at deres rettigheder er krænket.

En ny institution i form af en ombudsmand, som er underlagt de amerikanske myndigheder, vil skulle følge op på klager henvist fra europæiske databeskyttelsesmyndigheder angående nationale efterretningstjenesters adgang til europæiske statsborgeres persondata.

Bekymring over aftalen
Den såkaldte Artikel 29-gruppe (WP29) har i en pressemeddelelse udtrykt bekymring om, hvorvidt de nødvendige garantier for den europæiske persondatas beskyttelse kan imødegås af de nuværende retlige rammer i USA.

Aftalen er derudover også blevet kritiseret af blandt andre Maximilian Schrems (manden, der anlagde Safe Harbor-sagen) for at være en lappeløsning, hvor EU-borgeres retsstilling ikke er væsentlig forbedret i forhold til tidligere, og Europaparlamentsmedlemmet Jan Philipp Albrecht, som har været særdeles aktiv i arbejdet med Persondataforordningen, kalder aftalen for en genopvarmning af Safe Harbor.

Næste skridt
Som nævnt er EU-U.S. Privacy Shield stadig på tegnebrættet, og den endelige tekst er endnu ikke offentliggjort.

Næste skridt vil være, at EU-Kommissionen vil udforme et udkast til en såkaldt "adeqaucy decision" det vil sige en afgørelse om, at EU-U.S.

Privacy Shield-aftalen anses for at yde et tilstrækkeligt beskyttelsesniveau for data, der overføres fra EU til U.S.

EU-Kommissionen har udtalt, at denne afgørelse vil blive udarbejdet over de kommende uger.

Herefter vil den blive overleveret til WP29 og repræsentanter fra EU-medlemslandene, som vil gennemgå afgørelsen og komme med deres kommentarer.

Først herefter vil den blive fremlagt for EU-Kommissionen, som på baggrund af disse kommentarer skal beslutte, om EU-U.S. Privacy Shield kan endeligt vedtages.

SCC's og BCR's
Baseret på den fremlagte tidsplan, er det vigtigt at slå koldt vand i blodet.

Der er stadig temmelig lange udsigter til, at der foreligger en endelig og gyldig aftale. Indtil da har WP29 tydeligt udtalt, at virksomheder, der overfører data til tredjelande baseret på enten SCC's (standard contractual clauses) eller BCR's (binding corporate rules), lovligt kan blive ved med det.

(Tak til mine Bird & Bird kollegaer, advokatfuldmægtig Amalie Langebæk og advokat Kamilla Pierdola Mondrup for hjælp med indlægget)



Ytringer på debatten er afsenders eget ansvar - læs debatreglerne
Indlæser debat...

CIO
It-chef i dybet: "Hele vores it-infrastruktur er jo bygget op fra bunden, og alt - inklusive mig selv - forsvinder jo, når vi er færdige i 2018"
Interview: Martin Lauritsen er it-chef på Metro-byggeriet i København, hvor han skal holde internettet i gang og industrispioner ude af 22 byggepladser i hovedstaden. Det er noget af en opgave.
Comon
Sådan installerer du Googles bil-system, Android Auto, på din smartphone
Android Auto har indtil nu krævet en bil med indbygget computer med touchskærm for at kunne fungere. Nu kan du installere systemet på din Android-telefon og benytte den som bil-computer og navigations-system. Se her, hvordan du gør.
Channelworld
Tidligere Atea-boss Claus Hougesen er færdig som direktør i 3A-it: Her er årsagen
Claus Hougesen er stoppet som administrerende direktør for 3A-it og har i stedet overladt posten til Preben Jensen, der ligeledes har en fortid hos Atea.
White paper
Ræk ud for at skabe vækst
Som økonomisk ansvarlig erkender du behovet for konstant fokus på nye vækstmuligheder, for at være på konkurrencemæssig forkant og for at leve op til såvel kunders som interessenters forventninger. Læs hvordan i dette white paper.