USA og persondata: Er vi ved at være klar?
Privacy Shield er for længst død. Brugen af EU-Kommissionens standardkontrakter er begrænset. I det hele taget er det efterhånden en udfordring at sende persondata ud af EU (på lovlig vis). Eller hvad? Er det ikke alt sammen fortid nu efter USA’s udmelding om en ny executive order den 7. oktober 2022?
Hvad er problemet?
Persondata må alene behandles inden for EU/EØS – i hvert fald i praksis. Det har været realiteten siden Schrems II-afgørelsen i 2020. I teorien er behandling af persondata uden for EU/EØS mulig. Praksis og vejledninger fra diverse myndigheder har dog siden gjort det klart, at det for de fleste forbliver en teoretisk mulighed.
Dette har særligt ramt brugen af cloud-tjenester hårdt. De fleste af disse har på den ene eller anden måde forbindelse til USA, f.eks. ved brug af underlæggende infrastruktur.
Har USA ikke løst problemet nu?
Nej. Men løsningen nærmer sig.
USA har udstedt et dekret under navnet ”Executive Order On Enhancing Safeguards For United States Signals Intelligence Activities” den 7. oktober 2022.
Dekretet fastlægger, i fællesskab med de tilhørende forordninger, en række juridiske mekanismer for at modvirke kritikken i Schrems II-dommen. Bl.a. bindende sikkerhedsforanstaltninger, som begrænser de amerikanske efterretningstjenester adgang til data, en uafhængig og upartisk klagemekanisme samt en adgang for EU-borgere til at få domstolsprøvet indsamlingen af deres persondata i USA.
Der er tale om en ordning, som amerikanske virksomheder kan tilslutte sig, hvorved de forpligtes til at overholde et detaljeret sæt af privatlivsforpligtelser. Ordningen er ikke væsentligt forskelligt fra systemet under Privacy Shield kendt før Schrems II-dommen.
Dermed er den del af løsningen faktisk på plads. Der vil forventeligt foregå yderligere arbejde i USA med implementeringen – men den grundlæggende lovgivning er ændret og har virkning allerede nu.
Der mangler dog lidt arbejde hos EU.
Hvis USA har løst deres del, hvad mangler så hos EU?
Ordningen skal formelt godkendes i EU-systemet. Det skal vurderes, om den etablerede ordning giver tilstrækkelig sikkerhed for EU-borgere til, at der kan udstedes en tilstrækkelighedsvurdering. Det er grundlæggende samme koncept og proces kendt fra de såkaldte sikre tredjelande, f.eks. Storbritannien. Altså overførelser ud af EU/EØS, som alligevel anses for sikre nok.
Processen er dog ikke helt simpel.
Først udarbejder EU-Kommissionen et udkast til en vurdering. Denne forventes at være positiv. Derefter skal vurderingen i høring hos Det Europæiske Databeskyttelsesråd (også kendt som EDPB). EU-parlamentet kan også kommentere. Næste skridt er en formel godkendelse i EU efterfulgt af den endelige godkendelse hos EU-Kommissionen.
Den samlede godkendelsesproces forventes at tage 4-6 måneder.
Så vi venter lidt, og så er vi klar?
Forhåbentlig. Behandlingen i EU forventes at være positiv. Det er dog uvist, om der bliver udtalt kritik eller stillet krav om ændringer.
Selv med en godkendelse er der stadig lidt at holde øje med. F.eks. skal det sikres, at modtageren i USA er omfattet af den nye ordning.
Og allerede nu har Max Schrems’ organisation NOYB udtalt, at de anser den nye ordning for problematisk. Forventningen er derfor, at der kommer en ny Schrems III-sag. Hvordan den ender, må tiden vise.
Hvad gør vi i mellemtiden?
Indtil processen i EU er afsluttet med en godkendelse, er der intet nyt ift. at behandle persondata i USA. Der skal fortsat udarbejdes en transfer impact assessment. Vurderingen skal også fortsat føre til, at det er sikkert at behandle data i USA.
Med andre ord; vi gør, som vi plejer.
Der kan dog være god grund til at afvente situationen – også ift. de igangværende systemer. Hvis en virksomhed f.eks. har et cloud-baseret ERP-system, der involverer databehandlere i USA, kan det overvejes, om et evt. exit skal skubbes de 4-6 måneder, som godkendelsen i EU tager. Forhåbentligt bliver problemet jo løst.
Derudover kan det overvejes, om vurderingen af lovgivningen i USA allerede nu skal være mere positiv, da lovgivningen allerede er ændret i USA.
Og endeligt er det vigtigt at huske på, at ordningen kun vedrører dataoverførsler til USA. Det er desværre fortsat besværligt at sende persondata ud af EU til at andre usikre tredjelande – i hvert fald på lovlig vis.
Kontakt DAHL
Har du spørgsmål til artiklen eller til, hvordan din virksomhed bør håndtere persondata, er du altid velkommen til at kontakte DAHLs specialister. Vi yder professionel rådgivning på området.