I oktober 2015 underkendte EU-Domstolen Safe Harbor-ordningen, hvilket skabte tvivl omkring, hvordan persondata kunne overføres fra EU til USA. Det er i februar 2016 mundet ud i en ny politisk aftale mellem Kommissionen og USA.

Ved en dom fra EU-Domstolen (Safe Harbor-dommen (C 362/14)) i oktober 2015, underkendte EU-Domstolen den såkaldte Safe Harbor-ordning, og det betød, at overførsel af personoplysninger fra EU til USA ikke længere kunne ske på grundlag af et amerikansk selskabs Safe Harbor-registrering.

Det gav anledning til tvivl om, hvordan persondata i det hele taget kunne overføres til USA, og de nationale datatilsyn i de forskellige EU-lande fandt det nødvendigt at analysere og vurdere, hvilken betydning dommen fra EU-Domstolen eventuelt måtte have i forhold til andre muligheder for overførsel af persondata til USA, nærmere bestemt brugen af bl.a. Kommissionens standardkontrakter og Binding Corporate Rules.

De europæiske datatilsyn (i regi af den såkaldte Artikel 29-gruppe) udtalte i den forbindelse, at hvis der med udgangen af januar 2016 ikke var fundet en hensigtsmæssig løsning med de amerikanske myndigheder, vil de europæiske datatilsyn – afhængigt af udfaldet af de fortsatte analyser af de øvrige overførselsgrundlag – foretage de nødvendige og hensigtsmæssige håndhævelsesforanstaltninger.

Det var således ventet, at der med udgangen af januar 2016 enten kom en hensigtsmæssig løsning med de amerikanske myndigheder, eller at de europæiske datatilsyn ville foretage håndhævelse over for de virksomheder, der overfører persondata til USA, hvis de pågældende datatilsyn ikke anså håndhævelsen for at være lovlig (uanset om den skete i henhold til Safe Harbor, Kommissionens standardkontrakter eller Binding Corporate Rules).

Ny politisk aftale mellem Kommissionen og USA

Kommissionen og USA har den 2. februar 2016 indgået en politisk aftale om en ny ordning, der skal erstatte Safe Harbor-ordningen.

Den nye ordning skal indeholde følgende elementer:

  • Garantier for at amerikanske offentlige myndigheders adgang til personoplysninger begrænses til det, der er nødvendigt
  • Et uafhængigt tilsyn og mulighed for, at enkeltpersoner kan klage over amerikanske myndigheders behandling – f.eks. i form af en ombudsmand
  • Klager over amerikanske virksomheders behandling af personoplysninger skal behandles af virksomheden selv, det enkelte EU-lands datatilsyn, det amerikanske FTC eller – hvis det ikke løser sagen – af en ny klagemyndighed som en sidste udvej
  • Det skal sikres, at aftalen er bindende for USA, hvilket forudsætter godkendelse på højeste niveau i USA

Ordningen er endnu blot en politisk aftale, og Kommissionen skal derfor udarbejde et forslag til en egentlig beslutning i løbet af de følgende uger, der kan vedtages endeligt efter høring af Artikel 29-gruppen og en komité bestående af repræsentanter for EU-medlemsstaterne.

Offentliggørelsen af Privacy Shield har ført til, at Artikel 29-gruppen (og de enkelte landes datatilsyn) har udsat vurderingen af overførsler til USA med grundlag i EU-Kommissionens standardaftaler og Binding Corporate Rules til udgangen af februar 2016. Indtil da vil der kunne ske overførsler med hjemmel heri.

Hvad der sker herefter, og hvilken betydning Privacy Shield får, er endnu uafklaret, men vi vil løbende følge udviklingen og orientere herom.