Ny aftale om udveksling af personoplysninger mellem EU og USA er på vej
EU-Kommissionen og de amerikanske myndigheder har indgået en principaftale om overførsler af personoplysninger mellem EU og USA. Der er dog alene tale om en overordnet udmelding, hvilket betyder, at der endnu ikke er en afklaring på de spørgsmål, Schrems II-afgørelsen har medført.
det ved vi
Navnet på det nye overførselsgrundlag bliver ”Trans-Atlantic Data Privacy Framework”. EU og USA er blevet enige om nogle overordnede elementer for aftalen mellem dem. Aftalen indebærer at:
- Der skal sikres et frit og sikkert dataflow mellem EU og de deltagende virksomheder i USA
- Der skal opstilles nye regler og bindende sikkerhedsmekanismer, som begrænser amerikanske efterretningsmyndigheders adgang til personoplysninger, således at de kun får adgang til, hvad der er nødvendigt og proportionalt for at beskytte national sikkerhed
- Der skal vedtages procedurer hos amerikanske efterretningstjenester for at sikre effektivt tilsyn med de nye standarder for piratlivets fred og borgerlige frihedsrettigheder
- Der skal indføres et to-trins system med det formål at sikre effektiv retlig prøvelse for de registrerede i EU, hvis deres personoplysninger er blevet overført til de amerikanske efterretningsmyndigheder
- Virksomheder skal selv-certificere sig hos det amerikanske Department of Commerce, hvis de overfører personoplysninger fra EU til USA.
Næste skridt
Principaftalen, som er indgået mellem EU-Kommissionen og USA, skal nu omsættes til juridiske dokumenter. De amerikanske myndigheder vil udarbejde en ‘Executive Order’, som vil danne grundlag for et udkast til en afgørelse om tilstrækkelighed, der skal vedtages af EU-Kommissionen for at indføre det nye overførselsgrundlang ”Trans-Atlantic Data Privacy Framework”.
Efter dette udkast er udfærdiget, skal Det Europæiske Databeskyttelsesråd (EDPB) udtale sig om udkastet, inden EU-Kommission kan vedtage det. Såfremt EDPB har indvendinger mod udkastet, kan godkendelsesprocessen i EU-Kommissionen trække ud.
NJORDs bemærkninger
Det er vigtigt at understrege, at der fortsat kun er tale om en principaftale, og at der endnu ikke er et nyt overførselsgrundlag på plads samt, at det formentligt vil tage et stykke tid at få den nye aftale på plads. Såfremt man overfører personoplysninger til USA, skal man derfor stadig være opmærksom på de nuværende krav om bl.a. Transfer Impact Assessments (TIAs) og supplerende foranstaltninger.