I oktober 2015 blev Safe Harbor-ordningen kendt ugyldig af EU-Domstolen.
Dette har efterladt et tomrum i muligheden for at foretage lovlige overførsler af persondata til USA. Nu ser det dog ud som om, at EU Kommissionen og U.S. snart kan byde på en ny Safe Harbor-aftale - den såkaldte "EU-U.S. Privacy Shield".
Det er dog vigtigt at pointere, at der stadig kun er tale om et aftaleudkast.
Større krav til amerikanske virksomheder
Der er stadig ikke fremlagt nogen endelig tekst vedrørende den nye aftale, men ifølge EU-Kommissionen skal den nye EU-U.S. Privacy Shield sikre, at der stilles større krav til og forpligtelser overfor virksomheder etableret i USA.
Vicepræsident Ansip fra EU Kommissionen har om den nye kommende aftale udtalt, at "vores virksomheder, specielt små virksomheder, har den juridiske sikkerhed de behøver, når de udvikler deres aktiviteter på tværs af Atlanten".
Tilsynskontrol med amerikanske myndigheder
Det fremgår desuden af EU-Kommissionens pressemeddelelses, at aftalen vil medføre en skærpet overvågning og håndhævelse fra det amerikanske handelsministerium.
Kravene til samarbejdet mellem de amerikanske og europæiske myndigheder forøges på baggrund af en skriftlig garanti fra USA om, at amerikanske myndigheders adgang til persondata skal underlægges klare begrænsninger i form af sikkerheds- og beskyttelsesforanstaltninger samt tilsynskontrol.
I den forbindelse har EU-Kommissionær Jourová udtalt, at "USA har garanteret, at der ikke vil foretages vilkårlig overvågning eller masseovervågning af europæere".
Klageadgang til ombudsmand
Den effektive beskyttelse af europæiske statsborgere kommer især til udtryk ved, at aftalen ifølge EU-Kommissionen giver enhver statsborger, som mener, at deres data er blevet misbrugt, flere klagemuligheder fremover.
Virksomhederne i USA forpligtes nu til at svare på klager fra borgere, der føler, at deres rettigheder er krænket.
En ny institution i form af en ombudsmand, som er underlagt de amerikanske myndigheder, vil skulle følge op på klager henvist fra europæiske databeskyttelsesmyndigheder angående nationale efterretningstjenesters adgang til europæiske statsborgeres persondata.
Bekymring over aftalen
Den såkaldte Artikel 29-gruppe (WP29) har i en pressemeddelelse udtrykt bekymring om, hvorvidt de nødvendige garantier for den europæiske persondatas beskyttelse kan imødegås af de nuværende retlige rammer i USA.
Aftalen er derudover også blevet kritiseret af blandt andre Maximilian Schrems (manden, der anlagde Safe Harbor-sagen) for at være en lappeløsning, hvor EU-borgeres retsstilling ikke er væsentlig forbedret i forhold til tidligere, og Europaparlamentsmedlemmet Jan Philipp Albrecht, som har været særdeles aktiv i arbejdet med Persondataforordningen, kalder aftalen for en genopvarmning af Safe Harbor.
Næste skridt
Som nævnt er EU-U.S. Privacy Shield stadig på tegnebrættet, og den endelige tekst er endnu ikke offentliggjort.
Næste skridt vil være, at EU-Kommissionen vil udforme et udkast til en såkaldt "adeqaucy decision" det vil sige en afgørelse om, at EU-U.S.
Privacy Shield-aftalen anses for at yde et tilstrækkeligt beskyttelsesniveau for data, der overføres fra EU til U.S.
EU-Kommissionen har udtalt, at denne afgørelse vil blive udarbejdet over de kommende uger.
Herefter vil den blive overleveret til WP29 og repræsentanter fra EU-medlemslandene, som vil gennemgå afgørelsen og komme med deres kommentarer.
Først herefter vil den blive fremlagt for EU-Kommissionen, som på baggrund af disse kommentarer skal beslutte, om EU-U.S. Privacy Shield kan endeligt vedtages.
SCC's og BCR's
Baseret på den fremlagte tidsplan, er det vigtigt at slå koldt vand i blodet.
Der er stadig temmelig lange udsigter til, at der foreligger en endelig og gyldig aftale. Indtil da har WP29 tydeligt udtalt, at virksomheder, der overfører data til tredjelande baseret på enten SCC's (standard contractual clauses) eller BCR's (binding corporate rules), lovligt kan blive ved med det.
(Tak til mine Bird & Bird kollegaer, advokatfuldmægtig Amalie Langebæk og advokat Kamilla Pierdola Mondrup for hjælp med indlægget)