Privacy Shield-aftalen vedtaget
Den 12. juli 2016 vedtog EU-Kommissionen den længe ventede Privacy Shield-aftale om dataoverførsel mellem EU og USA. Aftalen erstatter Safe Harbor-aftalen, som EU-domstolen erklærede ugyldig i efteråret 2015. Virksomheder, som tilslutter sig den nye aftale, er sikre på at give en tilstrækkelig beskyttelse af persondata, som overføres mellem EU og USA.
EU-Kommissionen godkendte den 12. juli 2016 en ny aftale om dataoverførsel mellem USA og EU – Privacy Shield – som erstatter den tidligere Safe Harbor-aftale, der blev erklæret ugyldig af EU-domstolen i efteråret 2015. Med den nye aftale er parterne nået til enighed om en aftale, som sikrer tilstrækkelig beskyttelse af persondata, som overføres mellem EU og USA.
Privacy Shield-aftalen har været længe undervejs. Siden EU-domstolen tilsidesatte Safe Harbor-aftalen har EU’s institutioner og udvalg arbejdet på at finde en erstatning for Safe Harbor, som kunne imødekomme EU’s krav til databeskyttelse. Fredag den 8. juli 2016 blev Privacy Shield-aftalen endelig vedtaget af repræsentanter for EU’s 28 medlemslande, og den 12. juli udsendte EU-Kommissionen sin formelle godkendelse af aftalen.
Virksomheder, som tilslutter sig aftalen, vil have et tilstrækkeligt beskyttelsesniveau for overførsel af persondata mellem EU og USA.
Virksomheder skal tilslutte sig aftalen
Da der er tale om en ny aftale, skal virksomheder konkret tilslutte sig Privacy Shield-aftalen. Det gælder også virksomheder, der var tilmeldt Safe Harbor-aftalen. Virksomheder, som ønsker at benytte sig af aftalen, skal opdatere deres procedurer for blandt andet behandling af persondata, da aftalen stiller højere krav til information og valgfrihed end Safe Harbor-aftalen.
Større forpligtelser og bøder
Privacy Shield-aftalen øger beskyttelsen af EU-borgeres persondata ved overførsel til amerikanske myndigheder og virksomheder, og EU-Kommissionen og det amerikanske Department of Commerce vil én gang årligt vurdere aftalens hensigtsmæssighed.
Privacy Shield-aftalen indebærer, at amerikanske efterforskningsenheder i mindre omfang end tidligere vil have adgang til virksomheders persondata. Derudover bliver de deltagende virksomheder pålagt større forpligtelser end tidligere, blandt andet i form af årlige indberetninger om tilslutning til Privacy Shield-aftalen og dens principper.
Myndighederne vil overvåge virksomhedernes behandling af persondata, og hvis virksomhederne ikke overholder reglerne, vil det medføre bøder og/eller offentlig udstilling af manglende compliance. Derudover risikerer virksomhederne at miste retten til at bruge Privacy Shield-aftalen som overførselsgrundlag.
Med Privacy Shield-aftalen får EU-borgere udvidet og gratis mulighed for at klage over virksomheders databehandling til blandt andet en særligt udpeget og uafhængig ombudsmandsinstitution i USA og i form af voldgift. Virksomhederne har herefter 45 dage til at svare på klagen.
Principper om information og valgfrihed
Virksomheder, som tilslutter sig Privacy Shield-aftalen, skal overholde en række principper, blandt andet princippet om information til borgerne samt borgernes mulighed for at fravælge dataoverførsel til tredjeparter.
Princippet om information til borgerne vedrørende databehandling indebærer, at virksomheden skal offentliggøre sin persondatapolitik og samtidig tydeligt angive på sin hjemmeside, at virksomheden er omfattet af principperne i Privacy Shield-aftalen.
Princippet om borgernes valgfrihed handler dels om, at borgerne kan fravælge, at deres persondata kan viderebringes til tredjeparter, eller at deres data må benyttes til nye formål. Ifølge Safe Harbor-aftalen kunne almindelige, ikke-følsomme oplysninger frit overføres til virksomheder, der havde tilsluttet sig aftalen, mens overførsel af følsomme oplysninger krævede Datatilsynets tilladelse. Det er endnu uvist, om det samme gør sig gældende efter Privacy Shield-aftalen, men der er en forventning om, at det vil være tilfældet.
IUNO mener
Det årlige review af Privacy Shield-aftalens hensigtsmæssighed kan gøre det svært for virksomheder at forudse deres retstilling. Aftalen er kompleks og omkostningstung for virksomhederne, som derfor bør overveje alternative måder at iagttage beskyttelsesreglerne for persondata, herunder EU’s modelkontrakt for dataoverførsler eller Binding Corporate Rules. For nogle virksomheder, herunder i koncerner, vil det i nogle tilfælde være mindre omkostningstungt at benytte sig af disse alternative aftaleformer.
Privacy Shield-aftalen er allerede blevet mødt med en del kritik siden dens offentliggørelse, blandt andet fra den østrigske jurist Max Schrems, som indbragte spørgsmålet om Safe Harbor-aftalens lovmæssighed for EU-Domstolen sidste år. Det bliver spændende at se, om Privacy Shield-aftalen kan modstå de udfordringer, som den sandsynligvis vil blive mødt med i form af nye sager om, hvorvidt aftalen sikrer en tilstrækkelig databeskyttelse.
IUNO følger naturligvis med i udviklingen på området.
EU-Kommissionen godkendte den 12. juli 2016 en ny aftale om dataoverførsel mellem USA og EU – Privacy Shield – som erstatter den tidligere Safe Harbor-aftale, der blev erklæret ugyldig af EU-domstolen i efteråret 2015. Med den nye aftale er parterne nået til enighed om en aftale, som sikrer tilstrækkelig beskyttelse af persondata, som overføres mellem EU og USA.
Privacy Shield-aftalen har været længe undervejs. Siden EU-domstolen tilsidesatte Safe Harbor-aftalen har EU’s institutioner og udvalg arbejdet på at finde en erstatning for Safe Harbor, som kunne imødekomme EU’s krav til databeskyttelse. Fredag den 8. juli 2016 blev Privacy Shield-aftalen endelig vedtaget af repræsentanter for EU’s 28 medlemslande, og den 12. juli udsendte EU-Kommissionen sin formelle godkendelse af aftalen.
Virksomheder, som tilslutter sig aftalen, vil have et tilstrækkeligt beskyttelsesniveau for overførsel af persondata mellem EU og USA.
Virksomheder skal tilslutte sig aftalen
Da der er tale om en ny aftale, skal virksomheder konkret tilslutte sig Privacy Shield-aftalen. Det gælder også virksomheder, der var tilmeldt Safe Harbor-aftalen. Virksomheder, som ønsker at benytte sig af aftalen, skal opdatere deres procedurer for blandt andet behandling af persondata, da aftalen stiller højere krav til information og valgfrihed end Safe Harbor-aftalen.
Større forpligtelser og bøder
Privacy Shield-aftalen øger beskyttelsen af EU-borgeres persondata ved overførsel til amerikanske myndigheder og virksomheder, og EU-Kommissionen og det amerikanske Department of Commerce vil én gang årligt vurdere aftalens hensigtsmæssighed.
Privacy Shield-aftalen indebærer, at amerikanske efterforskningsenheder i mindre omfang end tidligere vil have adgang til virksomheders persondata. Derudover bliver de deltagende virksomheder pålagt større forpligtelser end tidligere, blandt andet i form af årlige indberetninger om tilslutning til Privacy Shield-aftalen og dens principper.
Myndighederne vil overvåge virksomhedernes behandling af persondata, og hvis virksomhederne ikke overholder reglerne, vil det medføre bøder og/eller offentlig udstilling af manglende compliance. Derudover risikerer virksomhederne at miste retten til at bruge Privacy Shield-aftalen som overførselsgrundlag.
Med Privacy Shield-aftalen får EU-borgere udvidet og gratis mulighed for at klage over virksomheders databehandling til blandt andet en særligt udpeget og uafhængig ombudsmandsinstitution i USA og i form af voldgift. Virksomhederne har herefter 45 dage til at svare på klagen.
Principper om information og valgfrihed
Virksomheder, som tilslutter sig Privacy Shield-aftalen, skal overholde en række principper, blandt andet princippet om information til borgerne samt borgernes mulighed for at fravælge dataoverførsel til tredjeparter.
Princippet om information til borgerne vedrørende databehandling indebærer, at virksomheden skal offentliggøre sin persondatapolitik og samtidig tydeligt angive på sin hjemmeside, at virksomheden er omfattet af principperne i Privacy Shield-aftalen.
Princippet om borgernes valgfrihed handler dels om, at borgerne kan fravælge, at deres persondata kan viderebringes til tredjeparter, eller at deres data må benyttes til nye formål. Ifølge Safe Harbor-aftalen kunne almindelige, ikke-følsomme oplysninger frit overføres til virksomheder, der havde tilsluttet sig aftalen, mens overførsel af følsomme oplysninger krævede Datatilsynets tilladelse. Det er endnu uvist, om det samme gør sig gældende efter Privacy Shield-aftalen, men der er en forventning om, at det vil være tilfældet.
IUNO mener
Det årlige review af Privacy Shield-aftalens hensigtsmæssighed kan gøre det svært for virksomheder at forudse deres retstilling. Aftalen er kompleks og omkostningstung for virksomhederne, som derfor bør overveje alternative måder at iagttage beskyttelsesreglerne for persondata, herunder EU’s modelkontrakt for dataoverførsler eller Binding Corporate Rules. For nogle virksomheder, herunder i koncerner, vil det i nogle tilfælde være mindre omkostningstungt at benytte sig af disse alternative aftaleformer.
Privacy Shield-aftalen er allerede blevet mødt med en del kritik siden dens offentliggørelse, blandt andet fra den østrigske jurist Max Schrems, som indbragte spørgsmålet om Safe Harbor-aftalens lovmæssighed for EU-Domstolen sidste år. Det bliver spændende at se, om Privacy Shield-aftalen kan modstå de udfordringer, som den sandsynligvis vil blive mødt med i form af nye sager om, hvorvidt aftalen sikrer en tilstrækkelig databeskyttelse.
IUNO følger naturligvis med i udviklingen på området.
Lignende
Holdet
Alexandra
Jensen
Juridisk rådgiver
Anders
Etgen Reitz
Partner
Caroline
Thorsen
Junior juridisk assistent
Cecillie
Groth Henriksen
Advokat
Johan
Gustav Dein
Advokatfuldmægtig
Julie
Meyer
Senior juridisk assistent
Kirsten
Astrup
Managing associate (orlov)
Maria
Kjærsgaard Juhl
Juridisk rådgiver
Sofie
Aurora Braut Bache
Managing associate