I starten af februar 2016 forlød det, at der var opnået politisk enighed mellem EU-Kommissionen og USA om en ny ordning til erstatning for Safe Harbor-ordningen for overførsel af persondata fra EU til USA. EU-Kommissionen har nu fremlagt en konkret lovgivningspakke vedrørende oprettelsen af det nye Privacy Shield-regime.

Ved en afgørelse fra oktober 2015 (Safe Harbor-dommen (C 362/14)) blev Safe Harbor-ordningen for overførsel af persondata fra EU til USA underkendt af EU-Domstolen. Den 2. februar 2016 annoncerede EU-Kommissionen i samarbejde med USA planer vedrørende en ny aftale – benævnt Privacy Shield– der skal erstatte Safe Harbor-ordningen.Den 29. februar 2016 har Kommissionen fremlagt en lovgivningspakke vedrørende oprettelsen af Privacy Shield.

Det er meningen, at beskyttelsen af persondata, når disse behandles af amerikanske selskaber eller myndigheder på grundlag af Privacy Shield-regimet, skal være på højde med den databeskyttelse, der gælder inden for EU. Dette skal sikres gennem:

  • Strenge forpligtelser for virksomhederne og konsekvent håndhævelse.
  • Klare beskyttelses- og gennemsigtighedskrav for den amerikanske stats adgang til at tilgå oplysningerne. Det fremgår, at USA har givet EU skriftlig garanti for, at den adgang til data, som de amerikanske myndigheder har af hensyn til den nationale sikkerhed, vil blive underlagt klare begrænsninger, beskyttelsesforanstaltninger og tilsynsordninger, således at en generel adgang til oplysningerne forhindres. Videre fremgår det, at den amerikanske udenrigsminister, John Kerry, har givet tilsagn om, at der vil blive oprettet en klageadgang for EU-borgere i form af en ombudsmandsmekanisme i det amerikanske udenrigsministerium. Ombudsmanden vil være uafhængig af statslige sikkerhedstjenester.
  • Effektiv beskyttelse af EU-borgeres rettigheder med forskellige klagemuligheder. Virksomhederne skal behandle klager inden for 45 dage. Der er mulighed for gratis alternativ konfliktløsning. EU-borgere kan også henvende sig til deres nationale datatilsyn, som i samarbejde med USA's føderale handelskommission (FTC) skal sørge for undersøgelse og afklaring af klager.
  • Årlig fælles evalueringsmekanisme. Det skal overvåges, hvordan Privacy Shield-værnet fungerer, herunder de tilsagn og garantier, der vedrører amerikanske myndigheders adgang til data af hensyn til retshåndhævelsen og den nationale sikkerhed. På grundlag af en årlig evaluering heraf forelægger Kommissionen en offentlig rapport for Europa-Parlamentet og Rådet.

Det næste skridt i EU's implementering af Privacy Shield består i, at en komité bestående af repræsentanter for EU-medlemsstaterne og de europæiske datatilsyn (i regi af den såkaldte Artikel 29-gruppe) kommer med en udtalelse, før Kommissionen igen skal tage stilling til aftalen om Privacy Shield. Aftalen skal i sidste instans forelægges for Rådet til vedtagelse efter godkendelse fra Europa-Parlamentet.