Nye udsigter til et grundlag for overførsel af personoplysninger til USA – Joe Biden udsteder præsidentielt dekret

EU-Domstolens afgørelse i Schrems II

EU-Domstolen underkendte i 2020 den tidligere ”Privacy Shield”-ordning, som etablerede et grundlag for udveksling af personoplysninger mellem EU og USA. EU-Domstolen vurderede, at ordningen ikke levede op til de krav, der følger af GDPR, eftersom den amerikanske lovgivning blev stemplet som ”problematisk”.

Schrems II-dommen har efterfølgende ført til store problemer, da mange myndigheder og virksomheder har et behov for at kunne overføre personoplysninger til USA, særligt ved brug af amerikanske cloudløsninger.

Dekretet har baggrund i Schrems II-dommen og er dermed et forsøg på at afhjælpe de problemer, som EU-Domstolen påpegede.

Principper om nødvendighed og proportionalitet

Dekretet forpligter de amerikanske efterretningstjenester til alene at indsamle data, hvis det er nødvendigt og proportionelt, med henblik på oplistede legitime formål. Der er i alt 12 legitime formål. Eksempelvis må efterretningstjenesterne kun indsamle data for at beskytte mod terrorisme. Efterretningstjenesterne forpligtes også til at tage hensyn til privatlivets fred og borgerlige frihedsrettigheder for alle personer uanset nationalitet. Det betyder, at dekretet også beskytter europæiske statsborgere.

Dekretet indeholder dermed en begrænsning for efterretningsmyndighedernes mulighed for at indsamle personoplysninger og indarbejder GDPR’s generelle principper.

Du kan læse hele dekretet her

Klagesystem og tilsyn

Det følger også af dekretet, at der skal indføres en ”multi-layer mechanism”, dvs. et to-trins klagesystem og en ny domstol til håndtering af databeskyttelsesklager: Data Protection Review Court. Domstolen består af tre udpegede dommere pr. sag, som vælges ud fra en liste af personer uden for regeringen, og som har en bindende beslutningskompetence.

Desuden følger det af dekretet, at Handelsministeriet og PCLOB (Privacy and Civil Liberties Oversight Board) skal føre tilsyn med efterretningsfællesskabet.

Disse skridt udgør en væsentlig forbedring af den tidligere tilstand, idet de registrerede får tildelt effektive værktøjer til at udøve deres rettigheder, samt at der indføres tilsyn; principper som er væsentlige i henhold til GDPR.

Hvad er næste skridt?

EU-Kommissionen skal nu igennem en særlig procedure, hvorefter de skal afgøre, om der nu kan udstedes en tilstrækkelighedsvurdering. Proceduren indebærer bl.a. en høring af Det Europæiske Databeskyttelsesråd. Det forventes, at EDPB undersøger, om det nye grundlag opfylder de betingelser, som EU-Domstolen opstillede i Schrems II-afgørelsen. Hvis grundlaget blåstemples, kan der ske overførsel af personoplysninger til USA.

Hvad skal du være opmærksom på, hvis din virksomhed foretager tredjelandsoverførsler?

Dekretet udgør som nævnt ikke et lovligt overførselsgrundlag, og det er derfor fortsat meget vigtigt, at din organisation forholder sig til tredjelandsoverførsler, herunder foretager de nødvendige risikovurderinger (evt. udarbejdelse af en Transfer Impact Assessment) og eventuelt træffer supplerende sikkerhedsforanstaltninger.

Du skal også være opmærksom på, at hvis dekretet fører til en tilstrækkelighedsvurdering, så løser dette ikke nødvendigvis alle problematikker ved tredjelandsoverførsler. Mange USA-produkter, særligt cloudløsninger, anvender underdatabehandlere og filialer i øvrige usikre tredjelande. Det betyder, at du fortsat skal risikovurdere på og træffe afgørelse om supplerende sikkerhedsforanstaltninger for så vidt angår disse tredjelande.

Har du spørgsmål eller brug for rådgivning?

Har du spørgsmål eller brug for rådgivning om tredjelandsoverførsler eller GDPR generelt, så er du altid velkommen til at kontakte vores specialister i databeskyttelse.