EU-Kommissionen har sagt ja til tilstrækkelighed for EU-US Databeskyttelsesramme, som sikrer et nyt dataoverførselsgrundlag. Afgørelsen konkluderer, at USA sikrer et tilstrækkeligt beskyttelsesniveau – sammenligneligt med EU’s GDPR-forordning – for persondata, der overføres fra EU til 2500 amerikanske virksomheder, der er certificeret under den nye ramme. Nu kan der overføres data uden at skulle indføre yderligere databeskyttelsesforanstaltninger.
“Det er en god nyhed for landets kommuner efter at det nu er lovligt at overføre persondata til de amerikanske virksomheder og organisationer, som er certificeret efter det nye overførselsgrundlag,” siger formand for Rådet for Datasikkerhed, Henning Mortensen, der desuden er medlem af regeringens cybersikkerhedråd.
Der er gået præcis tre år efter at EU-domstolen den 16. Juli 2020 i den såkaldte Schrems II sag dømte det tidligere dataoverførselsgrundlag “Privacy Shield” for ugyldigt. I de tre år efter dommen – frem til 10. juli 2023 – har landets kommuner og de amerikanske leverandører reelt ikke kendt praksis efter EU-domstolens afgørelse. De amerikanske cloudleverandørers forretningsmodel har i princippet befundet sig i “juridisk ingenmandsland i Europa” land med hensyn til support og service til deres europæiske kunder.
At EU-Kommissionen nu har godkendt den nye “databeskyttelsesramme” fra USA er en god nyhed for de store amerikanske leverandører, som Microsoft, Google, IBM, Apple, Amazon, Facebook mv. som efter en certificering i USA nu lovligt vil kunne modtage persondata fra europæiske virksomheder og myndigheder.
“Den amerikanske databeskyttelsesramme er godkendt som en ækvivalent til GDPR-forordningen. EU-domstolen underkendte Privacy Shield i 2020, og derfor kunne der ikke overføres persondata fra Europa til USA uden meget komplicerede sikkerhedsforanstaltninger,” siger Henning Mortensen.
Selvom den nye databeskyttelsesramme EU-USA er godkendt af begge lande som et nyt overførselsgrundlag, er USA fortsat et usikkert tredjeland i GDPR-sammenhæng. Den ny aftale mellem Europa og USA omfafter kun for dataoverførsler mellem EU og de 2500 certificerede virksomheder og organisationer i USA.
De 2500 certificerede i USA er antallet på nuværende tidspunkt. Listen kan blive længere, efterhånden som flere amerikanske virksomheder får øjnene op for aftalen.
Certificering
Amerikanske virksomheder kan tilslutte sig EU-US databeskyttelsesrammen ved at forpligte sig til at overholde et detaljeret sæt af regler og procedurer til at beskytte personlige data. F.eks. kravet om at slette personoplysninger, når de ikke længere er nødvendige til det formål, hvor de blev indsamlet. Og det gælder også, når persondata deles med en tredje part, som en underleverandør.
EU-borgere vil få adskillige klagemuligheder, hvis deres data behandles ulovligt af amerikanske virksomheder. Det omfatter gratis uafhængige tvistbilæggelsesmekanismer og et voldgiftspanel.
Derudover indeholder den amerikanske lovramme en række sikkerhedsforanstaltninger vedrørende adgangen til data, der overføres under rammen af amerikanske offentlige myndigheder, især til strafferetlige retshåndhævelses- og nationale sikkerhedsformål. Adgang til data er begrænset til, hvad der er nødvendigt og forholdsmæssigt for at beskytte den nationale sikkerhed.
EU-personer vil have adgang til en uafhængig og upartisk klagemekanisme vedrørende indsamling og brug af deres data af amerikanske efterretningstjenester, som omfatter en nyoprettet Data Protection Review Court (DPRC). Retten vil uafhængigt undersøge og afgøre klager, herunder ved at vedtage bindende afhjælpende foranstaltninger.
Henning Mortensen: “Der er selvfølgelig et par forbehold, kommuner og virksomheder skal være opmærksom på ved indgåelse af databehandleraftaler. Det er ikke kun databehandleren, der er certificeret, men de skal også tjekke om underdatabehandlerne også er certificerede eller bliver pålagt de samme sikkerhedskrav som databehandleren. Aftalen mellem EU og USA gælder kun tredjelandsoverførsler, men alle de sædvanlige forhold i GDPR skal man fortsat leve op til”.
Aftalen er på prøve og skal løbende evalueres. Første gang efter et år. Først når der kommer overtrædelser af aftalen vil det nye dataoverførselsgrundlag komme til eksamen.
Max Schrems
Datakrigeren fra Østrig, Max Schrems, har allerede været ude med riven. Han sammenligner det nye dataoverførselsgrundlag mellem EU og USA med “privacy shield” der lige har fået ekstra pudder på næsen. Han bebuder omgående at ville kræve en ny retssag om få måneder – den kommer nok til at hedde Schrems III.
Hans kritik går på den amerikanske efterretningstjenestes masseovervågning af europæiske borgere, FISA 702, som, ifølge ham, står uændret i den nye aftale.
Ursula von der Leyen
Formand for EU-Kommissionen Ursula von der Leyen siger: ”Den nye EU-US. databeskyttelsesramme vil sikre datastrømme for europæere og bringe juridisk sikkerhed til virksomheder på begge sider af Atlanten. Efter den principaftale, jeg nåede med præsident Biden sidste år, har USA implementeret hidtil usete forpligtelser til at etablere den nye ramme. I dag tager vi et vigtigt skridt for at give borgerne tillid til, at deres data er sikre, for at uddybe vores økonomiske bånd mellem EU og USA og samtidig bekræfte vores fælles værdier. Det viser, at vi ved at arbejde sammen, kan løse de mest komplekse problemer.”
USA har som led i aftalen erklæret EU som en sikker økonomisk zone.