Persondata - Privacy Shield-ordningen kan nu bruges

Virksomheder, der eksporterer persondata til USA, kan nu bruge den nye EU-US Privacy Shield-ordning. Ordningen, der erstatter den tidligere Safe Harbor-aftale mellem EU og USA til overførsel af persondata, gælder fra den 1. august 2016.

EU-US Privacy Shield-ordningen

Overførsel af persondata til lande uden for EU/EØS medfører en forpligtelse til at sikre, at der er et såkaldt "overførselsgrundlag", altså et særligt juridisk grundlag for overførslen. Dette kan man læse mere om på Datatilsynets hjemmeside.

Dette grundlag kan for eksempel etableres ved hjælp af EU-Kommissionens standardkontrakt, men nu giver EU-US Privacy Shield-ordningen et nyt overførselsgrundlag for de dataansvarlige, der overfører persondata til USA - eller benytter f.eks. cloud løsninger, hvor data overføres mellem EU og USA.

Læs mere om den nye EU-US Privacy Shield-ordning på Datatilsynets hjemmeside

Med ordningen anses de omfattede amerikanske virksomheder for at ligge i et såkaldt "sikkert tredjeland", altså et land, som EU-Kommissionen har vurderet, har et tilstrækkeligt beskyttelsesniveau.

Ordningen er baseret på et selvcertificeringssystem, hvor den enkelte omfattede amerikanske virksomhed erklærer og selv skal sikre, at den lever op til en række krav, som er fastsat af det amerikanske Handelsministerium på baggrund af en aftale med EU. Kravene minder om de grundlæggende principper, som vi kender fra den nuværende danske persondatalov, og som genfindes i en udvidet form i den nye persondataforordning.

Man kan se, hvilke virksomheder som er omfattet af ordningen her

Bemærk, at importøren skal have en aktiv godkendelse, og at de eksporterede data skal være omfattet af importørens beskrivelse.

Ordningen medfører kun forpligtelser for de omfattede amerikanske virksomheder. De europæiske dataeksportører har ikke noget umiddelbart ansvar for virksomhedernes overholdelse af ordningen - dette er alene et anliggende mellem virksomhederne og de amerikanske myndigheder, lige som de berørte personer kan klage over virksomhedens håndtering af personens persondata.

Erstatter Safe Harbor

Den 12. juli 2016 udstedte EU-Kommissionen sin formelle beslutning om den nye EU-US Privacy Shield-ordning - der trådte i kraft fra 1. august 2016. Ordningen erstatter den tidligere Safe Harbor-ordning, som blev underkendt af EU-Domstolen i oktober 2015. Safe Harbor har siden 31. januar 2016 ikke kunnet danne grundlag for overførsel af persondata til USA. Se vores tidligere nyheder om processen fra Safe Habor til EU-US Privacy Shield:

Konsekvenser af EU-dom om Safe Harbor

EU-US Privacy Shield - ny persondataordning nærmer sig

Tilladelse fra Datatilsynet

Datatilsynet har tidligere givet 150-170 danske dataansvarlige tilladelse til overførsel af følsomme eller "semi-følsomme" persondata til USA på grundlag af den ophørte Safe Harbor-ordning. Overførsel af følsomme eller semi-følsomme persondata til et "sikkert tredjeland" på grundlag af safe Harbor-ordningen krævede nemlig tilladelse fra Datatilsynet. Det samme gælder for Privacy Shield-ordningen.

Datatilsynet har oplyst, at de tidligere givne tilladelser om overførsel af følsomme og semi-følsomme persondata til Safe Harbor-certificerede virksomheder i USA bortfalder - og altså ikke kan 'genbruges'. Hvis man ønsker at overføre følsomme eller semi-følsomme persondata til USA på grundlag af Privacy Shield-ordningen, skal man derfor huske at indhente en tilladelse fra Datatilsynet, inden overførslen begynder.

Skyer i horisonten

Der er ganske mange kritiske røster vedrørende Privacy Shield-ordningens lovlighed i forhold til det Europæiske Charter om grundlæggende rettigheder - det kan findes her.

Det er derfor sandsynligt, at Privacy Shield-ordningen på et tidspunkt vil blive genstand for en vurdering ved EU-Domstolen, ligesom Safe Harbor-ordningen.

Plesners anbefaling

Plesner anbefaler, at de virksomheder, der tidligere har anvendt Safe Harbor-ordningen, sikrer sig, at de har et nyt overførselsgrundlag, hvis ikke man allerede har indgået EU-Kommissionens standardaftaler med den amerikanske virksomhed.  Det kan f.eks. være ved at bruge Privacy Shield-ordningen. Husk, at fristen for at etablere et nyt overførselsgrundlag efter den ophørte Safe Harbor-ordning var den 1. februar 2016.

Seneste nyt om Persondata

Persondata