Tilstrækkelighedsafgørelse for overførsel af personoplysninger til USA er måske på trapperne
Schrems II-afgørelsen efterlod EU og USA i en svær situation, da EU-Domstolen dømte den daværende tilstrækkelighedsafgørelse ude. Og ikke nok med det, fastslog EU-Domstolen, at vedtagelse af EU-Kommissionens Standardbestemmelser (SCC’er) heller ikke i sig selv lovliggjorde en overførsel: Der skulle yderligere foranstaltninger til. Dette har efterladt mange dataansvarlige og databehandlere i frustration, særligt med henblik på benyttelse af en cloudleverandør, som i mange tilfælde er placeret i eller kontrolleret af et selskab i USA.
En tilstrækkelighedsafgørelse er en afgørelse truffet af EU-Kommissionen med hjemmel i GDPR artikel 45, som giver ”grønt lys” for overførsel af personoplysninger til et tredjeland.
Dekret fra Joe Biden var startskuddet
Den 7. oktober 2022 udstedte Joe Biden et dekret om udveksling af personoplysninger mellem EU og USA på baggrund af forhandlinger mellem EU-Kommissionen og den amerikanske regering. Dette var startskuddet på udsigterne til en ny tilstrækkelighedsafgørelse.
Udkast til tilstrækkelighedsafgørelse er på plads
Den 13. december 2022 har EU-Kommissionen nu lanceret den proces, der skal lede hen imod vedtagelse af en endelig tilstrækkelighedsafgørelse, som skal lovliggøre overførsel af personoplysninger mellem EU og USA.
I udkastet til den nye tilstrækkelighedsafgørelse konkluderer EU-Kommissionen, at USA nu har sikret et tilstrækkeligt beskyttelsesniveau for personoplysninger, der overføres i henhold til den nye EU-US Data Privacy Framework (DPF).
Konsekvensen af vedtagelsen af en ny tilstrækkelighedsafgørelse er, at overførsel til USA kan ske uden yderligere foranstaltninger, herunder implementering af supplerende foranstaltninger og udarbejdelse af en gennemgående og fuld TIA (Transfer Impact Accessment).
Hovedelementer i udkastet
Amerikanske organisationer kan tilslutte sig EU-US DPF ved at forpligte sig til at overholde en række privatlivsforpligtelser.
Disse forpligtelser findes i udkastets bilag 1 og stiller bl.a. krav til oplysningspligten over for de registrerede, formålsbegrænsning, krav om databehandleraftaler, krav til sikkerheden, de registreredes ret til indsigt, mv. Derudover skal EU-borgere have mulighed for at klage, hvis deres personoplysninger behandles i strid med GDPR.
Udkastet indeholder desuden et afsnit vedrørende amerikanske myndigheders adgang og brug af personoplysninger vedrørende EU-borgere, som var en af hovedproblematikkerne i Schrems II-afgørelsen. Den amerikanske lovramme giver nu en række begrænsninger og garantier, så amerikanske myndigheders og efterretningstjenesters adgang til personoplysninger om EU-borgere vil være begrænset til, hvad der er nødvendigt og forholdsmæssigt. Dette indebærer, at indsamling af personoplysninger skal have hjemmel i et retsgrundlag. Derudover skal EU-borgere have mulighed for at klage til en uafhængig og upartisk nyoprettet databeskyttelsesdomstol, såfremt de mener, at amerikanske myndigheder i strid med lovgivningen, har indsamlet deres personoplysninger.
Hvad så nu?
Der er som nævnt alene tale om et udkast, som først skal gennemgås af Det Europæiske Databeskyttelsesråd (EDPB) og de europæiske medlemsstater. Desuden er alle de tiltag, der fremgår af den amerikanske lovpakke, næppe på plads endnu. Derfor må vi først vente på en fuld implementering af disse regler og principper i USA.
Hertil kommer, at de amerikanske organisationer, der ønsker at underlægge sig det nye overførselsgrundlag, selvcertificerer sig. Dette kræver, at de overholder forpligtelserne, herunder indfører dem i deres organisation. Dette omfatter bl.a. udarbejdelse af procedurer, politikker, foranstaltninger mv., således de lever op til de krav, der fremgår af tilstrækkelighedsafgørelsen.
Der er derfor et stykke vej og en del arbejde, der skal udføres, før vi sikkert kan overføre personoplysninger til USA. Den endelige afgørelse forventes at være klar slut forår/start sommer 2023.
Holder tilstrækkelighedsafgørelsen denne gang?
Det store spørgsmål er, om den nye tilstrækkelighedsafgørelse holder, idet historien tidligere har vist, at EU-Kommissionens tilstrækkelighedsafgørelser er blevet underkendt af EU-domstolen.
Organisationen NOYB (None of your business) og Max Schrems har i denne forbindelse allerede offentligt dømt det nye grundlag ude.
NOYB vurderer, at det nye grundlag ikke indeholder en forbedring af de krav, der blev stillet i Schrems II-afgørelsen, navnlig 1) at amerikanske myndigheders adgang til EU-borgeres personoplysninger skal være proportionel, og 2) at der skal være klageadgang for de registrerede.
NOYB mener, at efterretningstjenesterne fortsat indsamler personoplysninger ud over, hvad der er nødvendigt, og at den pågældende domstol ikke er en egentlig domstol, men derimod et organ under den amerikanske regerings udøvende magt.
Max Schrems udtaler følgende: "We will analyze the draft decision in detail the next days. As the draft decision is based on the known Executive Order, I can't see how this would survive a challenge before the Court of Justice. It seems that the European Commission just issues similar decisions over and over again - in flagrant breach of our fundamental rights”.
Det må således forventes, at NOYB og Max Schrems vil udfordre det nye grundlag i en ny sag.
Hvordan skal du forholde dig til den nye, fremtidige tilstrækkelighedsafgørelse?
Som nævnt, indebærer udkastet ikke i sig selv en tilstrækkelighedsafgørelse.
Overførsel af personoplysninger til USA uden yderligere foranstaltninger vil først være sikker og lovlig, når:
- tilstrækkelighedsafgørelsen endelig er vedtaget,
- lovgivningen finder anvendelse i praksis i USA, og
- når de amerikanske organisationer har selvcertificeret sig.
Uanset vedtagelse af tilstrækkelighedsafgørelsen bør du fortsat have styr på hele din overførselskæde.
Afgørelsen vedrører kun overførsler til USA, så hvis din organisation har flere databehandlere – eller din databehandler i USA har underdatabehandlere i usikre tredjelande – skal du fortsat have et overførselsgrundlag samt udarbejde en fuld TIA for disse overførsler.
Som følge af usikkerheden vedrørende tilstrækkelighedsafgørelsens holdbarhed, anbefaler vi også, at du ikke blot lægger dit arbejde med TIA-analyse for overførsler USA på hylden. Dokumentationen kan fortsat være relevant, da den understøtter dine overvejelser og vurderinger af, hvorvidt tredjelandsoverførslen er lovlig.
Har du spørgsmål eller brug for rådgivning?
Har du spørgsmål eller brug for rådgivning om tredjelandsoverførsler eller GDPR generelt, er du altid velkommen til at kontakte vores specialister i databeskyttelse. Vi tilbyder desuden en skabelon til udarbejdelse af TIA (Transfer Impact Accessment) med tilhørende vejledning, og hjælper også gerne med opgaven.
Nyheder
Se flereTilmeld dig
HjulmandKaptains
Få nyheder, invitationer til arrangementer, gode råd og viden om jura inden for de fagområder, der interesserer dig.