Europæiske datatilsyn skeptiske over for ny persondata-aftale

Den nye politiske aftale om overførsel af persondata mellem USA og EU vækker bekymring hos de europæiske datatilsyn. Den fælles gruppe af datatilsyn har opstillet fire grundprincipper for, om USA eller andre lande uden for EU har en tilstrækkelig beskyttelse af individerne over for myndighederne.

De europæiske datatilsyn forsamlet i Artikel 29-gruppen holdt den 3. februar 2016 pressemøde om konsekvenserne af Schrems-dommen og om EU-Kommissionens indgåelse af en aftale med USA om EU-US Privacy Shield.

Læs de europæiske datatilsyns pressemeddelelse

Gruppen oplyste, at man har foretaget en omfattende gennemgang af amerikansk lovgivning, og har identificeret en række forhold, der giver anledning til bekymring i forhold til overførsel af persondata fra EU/EØS til USA.

Man har i den forbindelse opstillet fire grundprincipper for vurderingen af, om USA eller et andet land uden for EU/EØS har en tilstrækkelig beskyttelse af individerne over for myndighederne. Principperne er:

  1. Myndighedernes adgang til data skal ske på grundlag af klare, præcise og tilgængelige regler
  2. Myndighedernes adgang og brug af data skal være nødvendig og proportional - der skal være balance mellem formålet (national sikkerhed) og indgrebet i individernes ret til beskyttelse af sit privatliv
  3. Der skal være en uafhængig, effektiv tilsynsmyndighed
  4. Der skal være effektive retsmidler for individerne, sådan at individerne har mulighed for at håndhæve deres rettigheder
Med henblik på at vurdere, om den nye aftale imødekommer bekymringerne, har gruppen i første omgang anmodet EU-Kommissionen om at modtage dokumenterne vedrørende EU-US Privacy Shield inden tre uger.

Artikel 29-gruppen forventes ultimo marts/primo april at have gennemført sin analyse af, om aftalen og de afledte ændringer i USA gør, at bekymringerne er afhjulpet.

Påvirker måske også andre overførselsgrundlag

Det er dog vigtigt også at være opmærksom på, at Artikel 29-gruppen stadig holder det åbent, om de nævnte bekymringer også rammer andre overførselsgrundlag, herunder særligt EU-Kommissionens standard-kontrakter og Binding Corporate Rules, når der overføres persondata til USA eller andre lande uden for EU/EØS. Artikel 29-gruppen vil komme med en udmelding herom ultimo marts/primo april. 

Artikel 29-gruppen vil således indtil videre tillade anvendelsen af standard-kontrakter og BCR. De virksomheder, der fortsat måtte anvende Safe Harbor som overførselsgrundlag, skal som meddelt tilbage i oktober 2015 finde alternative overførselsgrundlag. Artikel 29-gruppen vil lade det være op til de enkelte tilsyn, i hvilket omfang de vil sanktionere dataansvarlige, der endnu ikke har formået at få alternative overførselsgrundlag på plads.

For dataansvarlige, som bruger EU-Kommissionens standard-kontrakter eller Binding Corporate Rules som overførselsgrundlag til andre tredjelande end USA, er dette bekymrende nyt. Der er reel risiko for, at datatilsynene vil anvende de nævnte fire principper også i forhold til overførsler til eksempelvis Indien og Kina, og at vurderingen i forhold til disse lande vil være negativ. Hvis dette sker, kan datatilsynene - sag-for-sag - forbyde brugen af standard-kontrakter og Binding Corporate Rules til overførsel til de lande, som har dumpet "testen". 

Det er derfor i skrivende stund ikke urealistisk, at USA ender med at komme ud som vinder af Schrems-sagen, i den forstand, at USA vil kunne bestå en "test" under de fire nye principper, mens eksempelvis Indien og Kina kommer ud som tabere, da disse lande næppe uden videre kan bestå testen. 

Datatilsynet har den 4. februar 2016 offentliggjort en nyhed om sagen, hvor man tilslutter sig Artikel 29-gruppens udmelding.

Seneste nyt om Persondata

Persondata