På vej mod klarhed for dataoverførsler til USA
Siden sommeren 2020 har der hersket usikkerhed om anvendelsen af udbredte digitale løsninger fra amerikanske leverandører, der i mange tilfælde er blandt de bedste på markedet. EU og USA har forhandlet om en løsning, og nu er der håb om, at vi ser ind i en nær fremtid, hvor data igen kan flyde mellem USA og EU på et klart juridisk grundlag.
Den 7. oktober underskrev Joe Biden et præsidentielt dekret (an Executive Order), der introducerer nye bindende sikkerhedsforanstaltninger, som imødegår de kritikpunkter, som EU-domstolen rejste med dens Schrems II-dom i 2020.
Hvad indeholder dekretet
Enhancing Safeguards for United States Signals Intelligence Activities, som dekretet hedder, markerer hidtil usete forpligtigelser fra amerikansk side ift. at implementerer foranstaltning der imødekommer EU-domstolens primære indvendinger. Dekretet begrænser nemlig adgangen til EU-persondata for amerikanske efterretningstjenester til, hvad der kan retfærdiggøres som nødvendigt og forholdsmæssigt for at kunne beskytte den nationale sikkerhed. Derudover etableres en uafhængig klageenhed, ’Data Protection Review Court’, som skal håndtere henvendelser fra virksomheder og borgere, der mener, at de er blevet uretfærdigt udsat for overvågning af amerikanske efterretningstjenester.
”Det er et stort og vigtigt skridt hen mod en aftale, der skal normalisere dataoverførsler fra EU til USA uden at slække på databeskyttelsen, som USA nu har taget. Det er et skridt, som på en sikker måde er med til at styrke både den tætte relation mellem EU og USA og de økonomiske muligheder for vores virksomheder”, siger branchedirektør i DI Digital Rikke Hougaard Zeberg.
Selvom et præsidentielt dekret har umiddelbar virkning for amerikanske myndigheder, er de juridiske udfordringer med dataoverførsler fra EU til USA ikke fjernet med et snuptag. Det præsidentielle dekret satte gang i en EU-proces, der gennem en tilstrækkelighedsvurdering på ny skal godkende frie dataoverførsler fra EU til USA. Før Kommissionen kan endeligt godkende, skal det europæiske datatilsyn, ministerrådet og EU-parlamentet høres. Selvom EU og USA har forhandlet i længere tid om rammen for dataoverførsler fra EU til USA og må formodes at kende alle detaljer, forlyder det, at der kan gå op til seks måneder, før en endelig godkendelse foreligger.
”Vi forventer, at EU-godkendelsen er højt prioriteret og behandles hurtigst muligt. Schrems II-dommen har skabt stor usikkerhed for et utal af danske virksomheder om anvendelsen af en lang række digitale løsninger, som er en afgørende del af både dagligdagen i virksomhederne og af den digitale innovation, der skal være med til at løse flere af vores samfundsudfordringer”, siger branchedirektør i DI Digital Rikke Hougaard Zeberg.
”Det haster med en endelig afklaring. Vi lever i en usikker tid, hvor den digitale sikkerhed skal prioriteres højt, og så nytter det ikke, at virksomhederne f.eks. ikke kan bruge de bedste cloudløsninger med den højeste sikkerhed. Virksomheder skal ikke stå i en situation, hvor de skal vælge mellem at beskytte deres data og digitale løsninger mod organiserede og i nogle tilfælde statssponsorerede hackere eller mod overtrædelse af principper og regler, der efter al sandsynlig ikke er en overtrædelse om under et halvt år”, fortsætter branchedirektør i DI Digital Rikke Hougaard Zeberg.
Hvad kan virksomhed-erne gøre allerede nu
Selvom vi må afvente EU-processen, før der er en aftale på plads, kan det præsidentielle dekret indgå i vurdering- og dokumentationsgrundlaget ved dataoverførsler – en såkaldt transfer impact assessment - som virksomheder skal udarbejde, når de bruger Kommissionens Standardkontraktklausuler som overførselsgrundlag i forlængelse af Schrems II-dommen.
De nye vurderinger, man skal foretage i forlængelse af det præsidentielle dekret, er:
1. Om adgangen til EU-persondata for amerikanske efterretningstjenester nu er begrænset til, hvad der kan retfærdiggøres som nødvendigt og forholdsmæssigt for at kunne beskytte den nationale sikkerhed, og
2. Om der er en uafhængig klageenhed, som skal håndtere henvendelser fra virksomheder og borgere, der mener, at de er blevet uretfærdigt udsat for overvågning af amerikanske efterretningstjenester.
Vurderer man, at lovgivningen giver tilstrækkelig sikkerhed for EU-persondata og er effektiv i praksis, behøver man ikke indføre ekstra sikkerhedstiltag såsom kryptering, når man skal overføre personoplysninger til USA med Standardkontraktklausulerne som overførselsgrundlag.
Hvad gør DI?
Følg med her, hvor vi vil opdatere med relevante nyheder og vejledning. Det vil også være her, at I kan tilmelde jer et webinar med informationer om status og gode råd frem til, at aftalen endeligt foreligger i 2023.
