Privacy Shield-aftalen er blevet vedtaget

Fredag den 8. juli 2016 har de nationale repræsentanter i Artikel 31-komiteen vedtaget den meget omtalte Privacy Shield-aftale mellem EU og USA. Det betyder, at der nu er kommet en erstatning for Safe Harbor-aftalen, som ikke har kunnet benyttes siden 6. oktober 2015.
Artikel 31-komiteen er blevet enige om en ny aftale om dataoverførsel mellem EU og USA, som skal træde i stedet for den tidligere Safe Harbor-aftale. Efter lange forhandlinger og kritik fra bl.a. Artikel 29-gruppen og EU-parlamentet er parterne endelig blevet enige om en aftale, der efter artikel 31-komiteens opfattelse giver en tilstrækkelig beskyttelse af borgerne, når der overføres persondata fra EU og USA. Aftalen pålægger amerikanske virksomheder og offentlige myndigheder flere pligter ved behandling af EU-borgeres persondata sammenlignet med den tidligere Safe Harbor-aftale. 

Den endelige vedtagelse sker efter, at der er foretaget en række betydelige forbedringer af den tekst, som blev kritiseret af EU-parlamentsmedlemmerne og Artikel 29-gruppen. Ændringerne omfatter blandt andet strengere regler om opbevaring af data, overførsel og garantier for offentlige myndigheders adgang til data samt etablering af en amerikansk persondataombudsmand, som er fuldstændig uafhængig af de amerikanske efterretningstjenester. 

Privacy Shield stiller strengere krav end Safe Harbor

Aftalen vil være med til at skabe et sikkert retsgrundlag for de virksomheder, der er afhængige af overførsel af persondata fra EU til USA, og som enten har brugt EU-Kommissionens standardkontrakter for hvert aftaleforhold eller manglet et retsgrundlag til overførsel af persondata siden Safe Harbor-aftalen faldt bort i oktober 2015. Da der er tale om en ny aftale, skal virksomhederne konkret tilslutte sig Privacy Shield-aftalen. De gælder også for de virksomheder, der var tilmeldt Safe Harbor-aftalen. De virksomheder, der ønsker at benytte sig af aftalen, er også nødt til at opdatere deres procedurer for bl.a. behandling af persondata, da aftalen stiller strengere krav end Safe Harbor-aftalen.

Nu udestår alene EU-Kommissionens formelle godkendelse af aftalen, som forventes at falde på plads allerede i morgen, tirsdag den 12. juli 2016. EU-Kommissionen har i processen op til den formelle godkendelse af aftalen forsøgt mest muligt at inddrage synspunkter fra de relevante parter, herunder de uafhængige databeskyttelsesmyndigheder og Europa-Parlamentet. Dette har blandt andet resulteret i en revideret endelig aftaletekst. 

Aftalen skal sikre tilstrækkelig databeskyttelse

Efter godkendelsen vil de amerikanske virksomheder, der tilslutter sig aftalen, anses for at sikre et tilstrækkeligt beskyttelsesniveau for overførsel af persondata fra EU til USA. Benyttelse af den tidligere Safe Harbor-ordning forudsatte, at almindelige, ikke-følsomme oplysninger frit kunne overføres til Safe Harbor-registrerede virksomheder, mens overførsel af følsomme oplysninger krævede Datatilsynets tilladelse. Foreløbigt er det uvist, hvorvidt det samme vil være gældende for benyttelse af Privacy Shield-aftalen, men umiddelbart forventes der ikke lempelser på dette område.

Den endelige version af Privacy Shield-aftalen forventes at blive offentliggjort straks efter EU-Kommissionens formelle godkendelse.

Kromann Reumert følger op på Privacy Shield-aftalens endelige ordlyd, så snart den endelige version af aftalen offentliggøres.