DA
HR-jura

Safe Harbors afløser er på plads

logo
Juranyt
calendar 14. februar 2016
globus Danmark

EU og USA har indgået en ny politisk aftale om overførsel af persondata mellem EU og USA. Den nye aftale skal erstatte Safe Harbor, som blev erklæret ugyldig i oktober sidste år. Aftalen er endnu ikke endeligt godkendt af EU-landenes datatilsyn.

Den 2. februar indgik EU-Kommissionen og USA en ny politisk aftale om dataudveksling mellem EU og USA. Den nye aftale, EU-US Privacy Shield, skal erstatte Safe Harbor, som EU-domstolen erklærede ugyldig i efteråret.

EU-US Privacy Shield-aftalen er en politisk aftale, hvilket betyder, at den endelige aftaletekst endnu ikke er på plads, hvilket den dog forventes at komme i løbet af de kommende uger. Herefter skal den såkaldte Artikel 29-gruppe, som består af repræsentanter fra EU-landenes datatilsyn, tage stilling til, om aftalen sikrer en tilstrækkelig beskyttelse af EU-borgernes persondata ved dataudveksling med USA.

Safe Harbor erklæret ugyldig

I oktober 2015 afgjorde EU-Domstolen, at den daværende aftale om udveksling af persondata mellem EU og USA, Safe Harbor, var ugyldig, fordi den ikke sikrede en tilstrækkelig beskyttelse af EU-borgernes persondata. Formålet med den nye aftale, EU-US Privacy Shield, er dermed at finde en ny dataudvekslingsaftale mellem EU og USA, som imødekommer EU-domstolens kritikpunkter af Safe Harbor.

Hovedpunkterne i den nye aftale er:

  • Strengere krav til de amerikanske virksomheders og myndigheders behandling af EU-borgeres persondata samt sikring af individuelle rettigheder.

  • Sikkerhedsforanstaltninger og gennemsigtighed om amerikanske myndigheders adgang til persondata, herunder at myndighedernes adgang begrænses til sager, hvor det er nødvendigt og proportionalt. Derudover vil der ikke blive foretaget vilkårlig masseovervågning af persondata, der er overført til USA.

  • Effektiv beskyttelse af EU-borgeres rettigheder og lettere klageadgang for EU-borgere. Enhver EU-borger vil blandt andet have mulighed for at gå til en ombudsmand, hvis vedkommende har en forespørgsel eller en klage vedrørende amerikanske myndigheders databehandling.


Aftaletekst skal vurderes af datatilsyn

Artikel 29-gruppen har netop udtalt, at den ser frem til at gennemgå den endelige aftaletekst for at vurdere det juridiske indhold, herunder om aftalen retter op på de forhold, som gjorde Safe Harbor-aftalen ugyldig.

I sin udtalelse peger gruppen på fire grundlæggende garantier, der skal være opfyldt for, at EU-borgerne er tilstrækkeligt beskyttet:

  • Databehandling skal ske på baggrund af klare, præcise og tilgængelige regler.

  • Nødvendighed og proportionalitet skal demonstreres – der skal være balance mellem formålet med dataindsamlingen og individets rettigheder.

  • Der skal være en uafhængig tilsynsmyndighed, som er effektiv og upartisk – enten en dommer eller et uafhængigt organ

  • Individerne skal have adgang til effektive retsmidler.


Artikel 29-gruppen vil derudover foretage en vurdering af, om anvendelsen af EU’s standardkontrakter (de såkaldte modelkontrakter) og bindende virksomhedsregler (Binding Corporate Rules, BCR) fortsat vil kunne anvendes ved dataudveksling uden at være i strid med EU’s databeskyttelsesregler.

IUNO mener

Der er på nuværende tidspunkt alene tale om en politisk aftale, og vi afventer den endelige aftaletekst. Det er derfor stadig usikkert, om de mange problemer, som EU-domstolen påpegede i Safe Harbor-dommen, vil blive løst med den nye EU-US Privacy Shield-aftale.

Grundlaget er dog på plads, og den politiske aftale mellem EU og USA indeholder mange interessante elementer. Det helt afgørende bliver imidlertid, om aftalen bliver tilstrækkelig konkret. Først når der foreligger en endelig aftaletekst, bliver det muligt at vurdere, om aftalen rent faktisk sikrer en effektiv beskyttelse af EU-borgernes persondata ved dataudveksling med USA.

Hvis EU-US Privacy Shield-aftalen ikke bliver tilstrækkelig konkret, vil der være en stor risiko for, at aftalen udfordres af EU-borgere og de enkelte EU-landes datatilsyn. Det er derfor langt fra sikkert, at der er tale om en ny, sikker havn for dataoverførsler til USA.

Den 2. februar indgik EU-Kommissionen og USA en ny politisk aftale om dataudveksling mellem EU og USA. Den nye aftale, EU-US Privacy Shield, skal erstatte Safe Harbor, som EU-domstolen erklærede ugyldig i efteråret.

EU-US Privacy Shield-aftalen er en politisk aftale, hvilket betyder, at den endelige aftaletekst endnu ikke er på plads, hvilket den dog forventes at komme i løbet af de kommende uger. Herefter skal den såkaldte Artikel 29-gruppe, som består af repræsentanter fra EU-landenes datatilsyn, tage stilling til, om aftalen sikrer en tilstrækkelig beskyttelse af EU-borgernes persondata ved dataudveksling med USA.

Safe Harbor erklæret ugyldig

I oktober 2015 afgjorde EU-Domstolen, at den daværende aftale om udveksling af persondata mellem EU og USA, Safe Harbor, var ugyldig, fordi den ikke sikrede en tilstrækkelig beskyttelse af EU-borgernes persondata. Formålet med den nye aftale, EU-US Privacy Shield, er dermed at finde en ny dataudvekslingsaftale mellem EU og USA, som imødekommer EU-domstolens kritikpunkter af Safe Harbor.

Hovedpunkterne i den nye aftale er:

  • Strengere krav til de amerikanske virksomheders og myndigheders behandling af EU-borgeres persondata samt sikring af individuelle rettigheder.

  • Sikkerhedsforanstaltninger og gennemsigtighed om amerikanske myndigheders adgang til persondata, herunder at myndighedernes adgang begrænses til sager, hvor det er nødvendigt og proportionalt. Derudover vil der ikke blive foretaget vilkårlig masseovervågning af persondata, der er overført til USA.

  • Effektiv beskyttelse af EU-borgeres rettigheder og lettere klageadgang for EU-borgere. Enhver EU-borger vil blandt andet have mulighed for at gå til en ombudsmand, hvis vedkommende har en forespørgsel eller en klage vedrørende amerikanske myndigheders databehandling.


Aftaletekst skal vurderes af datatilsyn

Artikel 29-gruppen har netop udtalt, at den ser frem til at gennemgå den endelige aftaletekst for at vurdere det juridiske indhold, herunder om aftalen retter op på de forhold, som gjorde Safe Harbor-aftalen ugyldig.

I sin udtalelse peger gruppen på fire grundlæggende garantier, der skal være opfyldt for, at EU-borgerne er tilstrækkeligt beskyttet:

  • Databehandling skal ske på baggrund af klare, præcise og tilgængelige regler.

  • Nødvendighed og proportionalitet skal demonstreres – der skal være balance mellem formålet med dataindsamlingen og individets rettigheder.

  • Der skal være en uafhængig tilsynsmyndighed, som er effektiv og upartisk – enten en dommer eller et uafhængigt organ

  • Individerne skal have adgang til effektive retsmidler.


Artikel 29-gruppen vil derudover foretage en vurdering af, om anvendelsen af EU’s standardkontrakter (de såkaldte modelkontrakter) og bindende virksomhedsregler (Binding Corporate Rules, BCR) fortsat vil kunne anvendes ved dataudveksling uden at være i strid med EU’s databeskyttelsesregler.

IUNO mener

Der er på nuværende tidspunkt alene tale om en politisk aftale, og vi afventer den endelige aftaletekst. Det er derfor stadig usikkert, om de mange problemer, som EU-domstolen påpegede i Safe Harbor-dommen, vil blive løst med den nye EU-US Privacy Shield-aftale.

Grundlaget er dog på plads, og den politiske aftale mellem EU og USA indeholder mange interessante elementer. Det helt afgørende bliver imidlertid, om aftalen bliver tilstrækkelig konkret. Først når der foreligger en endelig aftaletekst, bliver det muligt at vurdere, om aftalen rent faktisk sikrer en effektiv beskyttelse af EU-borgernes persondata ved dataudveksling med USA.

Hvis EU-US Privacy Shield-aftalen ikke bliver tilstrækkelig konkret, vil der være en stor risiko for, at aftalen udfordres af EU-borgere og de enkelte EU-landes datatilsyn. Det er derfor langt fra sikkert, at der er tale om en ny, sikker havn for dataoverførsler til USA.

Modtag vores nyhedsbrev

Anders

Etgen Reitz

Partner

Søren

Hessellund Klausen

Partner

Lignende

logo
HR-jura

19. april 2024

Man må konsultere, før man agerer

logo
HR-jura

12. april 2024

PTSD-ramt politibetjent fik ret i Højesteret

logo
HR-jura

12. april 2024

Aktieoptionernes akilleshæl

logo
HR-jura

3. april 2024

At ophæve på egen bekostning

logo
HR-jura

27. marts 2024

Regler om løngennemsigtighed på vej

logo
HR-jura

26. marts 2024

Tvillingeforældre får ekstra barsel

Holdet

Alexandra

Jensen

Juridisk rådgiver

Anders

Etgen Reitz

Partner

Caroline

Thorsen

Junior juridisk assistent

Cecillie

Groth Henriksen

Advokat

Johan

Gustav Dein

Advokatfuldmægtig

Julie

Meyer

Senior juridisk assistent

Kirsten

Astrup

Managing associate (orlov)

Maria

Kjærsgaard Juhl

Juridisk rådgiver

Sofie

Aurora Braut Bache

Managing associate

Søren

Hessellund Klausen

Partner