Fornyelse af ”Privacy Shield” og hvad så?

Datatilsynet annoncerede 21. september 2022, at lovlig brug af Google Analytics kræver implementering af en række supplerende foranstaltninger, fordi Google i deres standardopsætning kan opbevare persondata, der ikke er tilstrækkeligt beskyttet i USA, og dermed ikke lever op til GDPR lovgivningen.

Fredag den 7. oktober 2022 underskrev den amerikanske præsident Joe Biden et dekret, der introducerer sikkerhedsforanstaltninger, som imødegår de kritikpunkter, som EU-domstolen rejste tilbage i 2020. Dette for at muliggøre udveksling af kundedata mellem virksomheder i USA og EU.

Hvad betyder dekretet?

Enhancing Safeguards for United States Signals Intelligence Activities, som dekretet hedder, forpligtiger USA at implementere foranstaltninger, der imødekommer EU-domstolens krav. Dekretet begrænser nemlig de amerikanske efterretningstjenesters adgang til EU-persondata. Derudover etableres en uafhængig klageenhed, ’Data Protection Review Court’, som skal håndhæve databeskyttelsesklager fra EU-borgere.

Selvom et præsidentielt dekret har umiddelbar virkning for amerikanske myndigheder, er de juridiske udfordringer med dataoverførsler fra EU til USA ikke fjernet med et snuptag. Det præsidentielle dekret sætter nemlig gang i en EU-proces. Før Kommissionen kan endeligt godkende, skal Kommissionen indhente en udtalelse fra det Europæiske Databeskyttelsesråd og udkastet skal godkendes af et udvalg bestående af repræsentanter fra medlemsstaterne. Herudover kan EU-Parlamentet kontrollere tilstrækkelighedsvurderingen, hvis EU-Parlamentet finder det nødvendigt. Selvom EU og USA har forhandlet i længere tid om rammen for dataoverførsler fra EU til USA og må formodes at kende alle detaljer, forlyder det, at der kan gå op til seks måneder, før en endelig godkendelse foreligger.

Dette kan du gøre nu

Vi må med andre ord afvente EU-processen, før der er en aftale på plads, men I virksomheder kan i mellemtiden lade det præsidentielle dekret indgå i vurdering- og dokumentationsgrundlaget ved dataoverførsler – en såkaldt transfer impact assessment. I skal udarbejde denne transfer impact assessment, når I bruger Kommissionens Standardkontraktklausuler, som overførselsgrundlag i forlængelse af Schrems II-dommen.

Den eksisterende transfer impact assessment skal opdateres i forlængelse af det præsidentielle dekret, og her bør I forholde jer til:

1. Om adgangen til EU-persondata for amerikanske efterretningstjenester nu er begrænset til, hvad der kan retfærdiggøres som nødvendigt og forholdsmæssigt for at kunne beskytte den nationale sikkerhed.
2. Om der er en uafhængig klageenhed, som skal håndtere henvendelser fra virksomheder og borgere, der mener, at de er blevet uretfærdigt udsat for overvågning af amerikanske efterretningstjenester.

Vurderer man, at lovgivningen giver tilstrækkelig sikkerhed for EU-persondata og er effektiv i praksis, behøver man ikke indføre ekstra sikkerhedstiltag såsom kryptering, når man skal overføre personoplysninger til USA med Standardkontraktklausulerne som overførselsgrundlag.