Privacy Shield er for længst død. Brugen af EU-Kommissionens standardkontrakter er begrænset. Men er det ikke alt sammen fortid nu efter USA’s udmelding om en ny Executive Order?
Da USA’s præsident Biden i fredags offentliggjorde en ”Executive Order On Enhancing Safeguards For United States Signals Intelligence Activities,” var der flere, herunder IT-Branchen, der jublede, mens andre rystede på hovedet. Men hvad er egentligt op og ned – og er der overhovedet grundt til at være glad eller sur? Det har vi spurgt DAHL Advokatpartnerselskab om.
Hvad er det for et problem, som USA og EU forsøger at løse?
Siden Schrems II-afgørelsen har det i praksis været næsten umuligt at behandle persondata udenfor EU/EØS. Det har særligt ramt brugen af cloud-tjenester hårdt, da de fleste af disse på en eller anden måde har forbindelse til USA. Og selvom forskellige europæiske datatilsyn efterfølgende har udgivet flere vejledninger omkring overførsel af data til f.eks. USA, så har praksis vist sig, at det for langt de fleste virksomheder blot er en teoretisk mulighed. I foråret 2022 meldte USA og EU derfor ud via et fælles pressemøde, at de nu ville sætte sig sammen, og fjerne de knaster, der har været, så det igen ville være muligt at overføre persondata til USA. Efter flere måneders samarbejde kunne præsident Biden så fredag d. 7. okt. udstede en Executive Order, der skulle løse udfordringerne.
Har USA så løst problemet?
Ja og nej vel det mest korrekte svar. Dekretet fastlægger, i fællesskab med de eksisterende forordninger, en række juridiske mekanismer, der skal løse de problemer, som Schrems II-dommen fastslog. Bl.a. bindende sikkerhedsforanstaltninger, som begrænser de amerikanske efterretningstjenesters adgang til data, en uafhængig og upartisk klagemekanisme samt en adgang for EU-borgere til at få domstolsprøvet indsamlingen af deres persondata i USA.
Dermed er en stor del af løsningen faktisk på plads, da den grundlæggende lovgivning nu er ændret og allerede fik virkning fra fredag d. 7. okt. Og det var en af grundende til, at vi i IT-Branchen jublede i fredags. For med en ny lovtekst og juridiske forandringer i USA, så mener vi, at målet er så godt som nået.
Hvad mangler der så?
Ordningen skal formelt godkendes i EU-systemet. Det skal vurderes, om den nye Executive Order giver tilstrækkelig sikkerhed for EU-borgere til, at der kan udstedes en positiv tilstrækkelighedsvurdering. Da EU og USA under hele forløbet har arbejdet tæt sammen omkring indhold og tekst, er selve godkendelsen nok mere formalia end en reel usikkerhed. Men ikke desto mindre er EU-processen ikke helt simpel.Først skal EU-Kommissionen forfatte et udkast til en vurdering. Den forventer vi naturligvis er positiv. Derefter skal vurderingen i høring hos Det Europæiske Databeskyttelsesråd, ligesom EU-parlamentet også har mulighed for at kommentere. Næste skridt er så en formel godkendelse i EU efterfulgt af den endelige godkendelse hos EU-Kommissionen.
Den samlede godkendelsesproces forventes at tage 4-6 måneder. Men da EU har været med inde over hele processen, forventer man ikke de store ændringer, og da slet ikke et nej.
Hvad gør vi i mellemtiden?
Selvom processen i EU ikke er afsluttet, har virksomheder fortsat mulighed for at anvende EU-Kommissionens standardkontraktbestemmelser (SCC), som sammen med udarbejdelsen af en Transfer Impact Assessment (TIA), kan danne grundlaget for lovlig overførsel til USA. Selvfølgelig forudsat, at vurderingen i TIA fører til, at det er sikkert at behandle data i USA. Og her kan den nye Executive Order fra Det Hvide Hus måske indgå i vurderingen, som tilstrækkeligt grundlag.