Nyheder

En nyhed fra Danske Advokaters fagudvalg for databeskyttelse.

Af advokat Birgitte Toxværd, partner i Kromann Reumert.

I Schrems II-afgørelsen fra 2020 kendte EU-Domstolen det dagældende overførselsgrundlag for overførsler af personoplysninger fra EU til USA, EU-US Privacy Shield, ugyldigt. Siden har det været svært at gennemskue for organisationer i EU, om og hvordan de lovligt kan overføre personoplysninger til USA, fx til de amerikanske cloudløsninger uden samtidig at skulle træffe supplerende sikkerhedsforanstaltninger, som kan virke både kompromitterende på brugeroplevelsen og på sikkerheden. Udsigten til at overførsler til USA igen kan ske smidigt, er dog blevet bedre.

Nyt overførselsgrundlag

I foråret 2022 annoncerede EU-Kommissionsformanden, von der Leyen og Præsident Biden en principaftale om overførsel af personoplysninger mellem USA og EU. Det nye overførselsgrundlag, Trans-Atlantic Data Privacy Framework (TADPF), skulle sikres ved en executive order i USA og opdaterede orders og instrukser til de 18 amerikanske efterretningstjenester, et nyt klagesystem, nye principper for de amerikanske myndigheder, der tilmelder sig ordningen, og på EU-siden, en ny tilstrækkelighedsafgørelse fra Kommissionen.

I kølvandet på det blev Executive Order 14086 vedtaget af Præsident Biden i oktober 2022. Formålet var at implementere USA's forpligtelser ifølge principaftalen og imødekomme de reservationer i forhold til amerikansk ret, som blev rejst af EU-Domstolen i Schrems II. En af hovedproblematikkerne var amerikanske myndigheders adgang og brug af personoplysninger om EU-borgere, og konkret følger det af den nye executive order, at de amerikanske myndigheder og efterretningstjenester vil være underlagt krav om nødvendighed og proportionalitet i forbindelse med indsamling af personoplysninger. Derudover vil der blive etableret et nyt to-trins klagesystem, først i Office of the Director of the National Intelligence (ODNI) med appelmulighed til Data Protection Review Court (DPRC). Den nye lovgivning forpligter tillige de amerikanske efterretningstjenester til at revurdere deres procedurer med henblik på at implementere den nye executive order.

I december 2022 fulgte EU-Kommissionen op med et udkast til en ny tilstrækkelighedsafgørelse med beslutning om, at USA har sikret et tilstrækkeligt beskyttelsesniveau for personoplysninger ved brug af TADPF. Foruden betragtninger om de nye krav til amerikanske myndigheder, skal amerikanske virksomheder tilslutte sig overholdelsen af en række principper for databeskyttelse, hvis de vil gøre brug af overførselsgrundlaget. Blandt andet stilles der krav til oplysningspligten over for de registrerede, formålsbegrænsning, krav om databehandleraftaler, krav til sikkerheden, de registreredes ret til indsigt, mv. Tilslutningen til forpligtigelserne sker ved en selvverificeringsproces hos det amerikanske Department of Commerce.

Reaktioner på udkastet

Flere EU-organer har udtalt sig om Kommissionens udkast, og det forventes, at Kommissionen foretager mindre justeringer, før det endelig vedtages. EU-Parlamentets LIBE-komité (European Parliament's Commitee on Civil Libertie, Justice and Home Affairs) udtalte i februar 2023, at de ikke mente, udkastet kunne godkendes. De begrundede det blandt andet med uoverensstemmelser mellem definitionerne af proportionalitet og nødvendighed i executive order og i EU-retten. Efter diskussioner i Europa-Parlamentet kunne LIBE-Komitéen allerede måneden efter offentliggøre en revideret udtalelse, hvor de fastholder, at udkastet for nuværende ikke skal godkendes, men trods alt opfordrer Kommissionen til at fortsætte forhandlinger med USA.

EDPB har ligeledes udtalt sig om udkastet, og selvom de ser positivt på forbedringerne fra Privacy-Shield-ordningen, gør de det også klart, at de imødeser ændringer til udkastet. Blandt andet udtalte EDPB, at der skal skabes bedre sikkerhed for, at der sker en korrekt implementering af sikkerhedsgarantierne.

Hvad nu?

Det er for tidligt for organisationer i EU at forlade sig på TADPF som overførselsgrundlag, og indtil det er vedtaget og implementeret, skal EU's standardoverførselskontrakter (SCC'er), evt. med supplerende foranstaltninger, stadig indgås for langt de fleste overførsler til USA. Overførslerne skal også dokumenteres i såkaldte "transfer impact assessments" (TIA'er).

Overførsel af personoplysninger til USA uden supplerende foranstaltninger vil først kunne ske, når

• lovgivningen er vedtaget fuldt implementeret i USA,
• Danmark er godkendt i USA som en "qualifying state" efter kriterierne i U.S. lovgivningen i forhold til, at danske borgere kan bruge klagesystemet hos ODNI og DPRC. Det vil givetvis kræve nogle justeringer i dansk ret,
• tilstrækkelighedsafgørelsen er endeligt vedtaget af EU-Kommissionen,
• de amerikanske organisationer, der ønsker at modtage personoplysninger, under ordningen har tilmeldt sig hos Department of Commerce.

Det forventes, at overførselsgrundlaget er fuldt vedtaget og klar til brug senest i oktober, men der er forlydender om, at det hele kan være på plads allerede i løbet af sommeren.