EU-US Privacy Shield - ny persondataordning nærmer sig

Afløseren for Safe Harbor-ordningen til overførsel af persondata mellem EU og USA er kommet et afgørende skridt nærmere. EU og USA har begge offentliggjort dokumenterne, der skal danne grundlag for den nye EU-US Privacy Shield. Ordningen forventes endeligt vedtaget i juni 2016.

EU-Kommissionen og U.S. Department of Commerce har den 29. februar hver især offentliggjort de dokumenter, der udgør deres grundlag for den nye EU-US Privacy Shield-ordning, som vil give et juridisk grundlag for at overføre personoplysninger mellem EU og US.

Blandt dokumenterne er bl.a. et udkast til en beslutning fra EU-Kommissionen om, at amerikanske virksomheder omfattet af EU-US Privacy Shield-ordningen, anses for at befinde sig i et sikkert tredjeland. Dokumenterne omfatter bl.a. også de databeskyttelsesprincipper (Privacy Shield Principles), som vil skulle efterleves af de amerikanske virksomheder, som tilslutter sig ordningen.

Ordningen øger kravene for omfattede selskaber i USA til at beskytte europæiske borgeres personoplysninger, når de overføres til USA. Hertil kommer øget håndhævelse af disse krav fra det amerikanske handelsministerium og Federal Trade Commission (FTC ) samt et øget samarbejde med de europæiske databeskyttelsesmyndigheder.

Flere nye krav til amerikanske virksomheder

Amerikanske virksomheder skal for at blive certificeret under ordningen leve op til en række krav og kunne dokumentere, at de kan leve op til kravene. Certificeringsprocessen skal gennemføres én gang om året. Det amerikanske handelsministerium skal føre tilsyn med de virksomheder, der får certificeringen - og vil opretholde et opdateret register over de virksomheder, der har opnået certificeringen.

Set fra et europæisk synspunkt indeholder ordningen flere interessante tiltag. Bl.a. kan europæiske statsborgere, der mistænker, at deres oplysninger er blevet misbrugt, klage direkte til det amerikanske selskab, som har behandlet oplysningerne - og selskabet er forpligtet til at svare inden for 45 dage. Europæiske statsborgere kan endvidere klage til deres nationale tilsyn, som vil videreformidle klagen til det amerikanske handelsministerium, der så skal tage stilling til klagen indenfor 90 dage. Der skal også være mulighed for at klage til en uafhængig klageinstans udpeget af det amerikanske selskab.

Selskaber i USA, der behandler oplysninger om europæere til HR-formål under EU-US Privacy Shield-ordningen, er forpligtet til at overholde retningslinjer fra det relevante europæiske datatilsyn - dvs. at et amerikansk selskab, der behandler oplysninger om danske medarbejdere, skal følge det danske tilsyns praksis.

Aftale sandsynligvis på plads i juni

Næste skridt for EU-US Privacy Shield-ordningen er, at de europæiske datatilsyn samlet i Artikel 29-gruppen skal høres over EU-Kommissionens udkast til beslutning. Artikel 29-gruppen forventer at kunne afgive sin vurdering af udkastet til beslutning og det øvrige materiale efter mødet den 12-13. april 2016. Herefter indhentes en bindende udtalelse fra repræsentanter for medlemsstaterne, og endelig kan beslutningen vedtages af EU-kommissærerne. Det forventes, at processen kan være gennemført i juni 2016.

Seneste nyt om Persondata

Persondata