USA og persondata: Vi har aldrig været tættere på (denne gang)
Det har længe været en udfordring at sende persondata til USA - på lovlig vis. Den 7. oktober 2022 tog USA det første skridt til at ændre dette med en ny Executive Order. Nu har EU-Kommissionen taget det næste skridt med et udkast til et nyt overførelsesgrundlag. Så måske vi er der snart, igen, for en stund? Vores specialister kommenterer på sagen.
Hvad er problemet?
Persondata må alene behandles inden for EU/EØS – i hvert fald i praksis. Det har været realiteten siden Schrems II-afgørelsen i 2020. Behandling af persondata uden for EU/EØS har siden da reelt været en mere teoretisk end en praktisk mulighed. Det har diverse myndigheder gjort klart siden 2020.
Det er særligt cloud-tjenester, som er hårdt ramte. De fleste af disse har på den ene eller anden måde forbindelse til USA, f.eks. ved brug af underlæggende infrastruktur.
Har EU så løst problemet nu?
Ikke helt. Men en løsning nærmer sig.
Siden USA, den 7. oktober 2022, udstedte dekretet ”Executive Order On Enhancing Safeguards For United States Signals Intelligence Activities”, har bolden ligget hos EU. Med dekretet kunne EU-Kommissionen vurdere, om der dermed var skabt tilstrækkelig sikkerhed for EU-borgeres behandling af personoplysninger i USA.
Det har EU-Kommissionen nu vurderet. Og det mener de, at der er. Det fremgår af EU-Kommissionens udkast til ”Adequacy decision for the EU-US Data Privacy Framework”, som blev offentliggjort den 13. december 2022.
Men selv med denne vurdering er vi der ikke helt endnu.
Hvad er processen herfra?
EU-Kommissionens vurdering er et væsentligt første skridt. Dermed har EU-Kommissionen reelt blåstemplet overførelse af persondata til USA - og dermed tilstrækkeligheden af tiltagene indeholdt i dekretet fra 7. oktober 2022.
Det er dog kun første skridt i EU-systemet.
Vurderingen er nu sendt i høring hos Det Europæiske Databeskyttelsesråd (også kendt som EDPB). Der er alene tale om en høring, da EDPB hverken kan godkende eller afvise vurderingen. Tilsvarende gælder for EU-parlamentet, der også har ret til at kommentere, men altså ikke godkende eller afvise vurderingen.
Begge organers behandling forventes dog at få indflydelse på den egentlige godkendelse fra medlemsstaterne. Det er derfor ikke usandsynligt, at der kan blive en proces med flere udkast.
Til sidst godkender EU-Kommissionen endeligt vurderingen. Først derefter får den virkning.
Den samlede godkendelsesproces i EU forventes at være afsluttet ca. april-maj 2023.
Hvorfor skulle vurderingen ikke blive godkendt?
EU-Kommissionens holdning er klar med udkastet til vurdering; det er sikkert nok at sende persondata til USA under den nye ordning.
Der er dog allerede udtrykt en del negative meninger om den nye ordning. Disse kommer bl.a. fra Max Schrems’ organisation ”None Of Your Business” og går på, at ordningen ikke giver en reel beskyttelse, at den nye adgang til domstolsprøvelse i USA ikke er reel, at det er for nemt at blive en del af ordningen osv.
Spørgsmålet er, om det er nok til at få vendt stemningen i EU. En negativ udtalelse fra EDPB forventes at ville bære en vis vægt.
Spørgsmålet er, om det vil være nok over for den store hindring for global samhandel - som den nuværende situation er. Vinder idealismen eller realpolitikken?
Er vi så endelig i mål?
Måske. For en stund. Hvis vurderingen ender med at blive godkendt som forventet.
Denne ordning er dog tredje forsøg på at skabe en ordning for udveksling af persondata med USA. Først var der Safe Harbour. Den blev underkendt. Så kom Privacy Shield. Den blev også underkendt. Begge gange initieret af Max Schrems.
Den nye ordning vil derfor næsten med sikkerhed også blive udfordret af Max Schems ved EU-Domstolen. Om den holder, må tiden vise.
Fra EU-Kommissionen godkender den nye ordning, og indtil EU-Domstolen (eller EU-Kommissionen selv) måtte underkende den, vil den dog kunne anvendes.
Der bliver derfor forhåbentligt en mere normaliseret tilstand ift. dataudveksling med USA i nogle år som minimum.
Det er dog vigtigt at huske på, at ordningen kun vedrører dataoverførsler til USA. Det er desværre fortsat besværligt at sende persondata ud af EU til at andre usikre tredjelande – i hvert fald på lovlig vis.
Dertil er overførslen (fortsat) kun lovlig til de organisationer i USA, som tilmelder sig den nye ordning. Dataeksportøren i Danmark skal altså sikre, at dataimportøren i USA er tilmeldt. Ellers er der ikke dokumentation for, at dataimportøren beskytter de modtagende personoplysninger tilstrækkeligt.
Kontakt DAHL
Har du spørgsmål til din virksomheds overførsel af personoplysninger til USA eller til persondata generelt, er du altid velkommen til at kontakte DAHLs specialister. Vi yder professionel rådgivning på området.