EU-Domstolen annullerede tilbage i oktober 2015 Safe Harbor-ordningen om overførsel af persondata til USA.

Efterfølgende har der været en proces, hvor EU-Kommissionen har forhandlet med de amerikanske myndigheder om ændringer i de amerikanske regler for myndighedernes adgang til personoplysninger. Det førte til EU-US Privacy Shield-aftalen, som vi beskrev tilbage i februar 2016 i denne nyhed: "Persondata - ny aftale om Safe Harbor på vej"

Processen har imidlertid vist sig at være vanskelig, og EU-US Privacy Shield-aftalen til overførsel af persondata mellem EU og USA er, allerede inden den er formelt udstedt, stødt på store udfordringer. De europæiske datatilsyn samlet i den såkaldte Artikel 29-gruppe vurderer nemlig, at den nye EU-US Privacy Shield-aftale ikke lever op til en række grundlæggende krav.
Udtalelsen fra Artikel 29-gruppen kan læses her

Den fælles gruppe af datatilsyn har tidligere opstillet fire grundprincipper for, om USA - og andre lande uden for EU - har en tilstrækkelig beskyttelse af individerne over for myndighederne:

1. Myndighedernes adgang til persondata skal ske på grundlag af klare, præcise og tilgængelige regler
2. Myndighedernes adgang og brug af persondata skal være nødvendig og proportional - der skal være balance mellem formålet (national sikkerhed) og indgrebet i individernes ret til beskyttelse af sit privatliv
3. Der skal være en uafhængig, effektiv tilsynsmyndighed
4. Der skal være effektive retsmidler for individerne, sådan at individerne har mulighed for at håndhæve deres rettigheder.

Artikel 29-gruppen mener ikke, at aftalen i den nuværende form lever op til principperne. Der er brug for mere klare regler, der forhindrer de amerikanske myndigheder i at indsamle data om europæere hos de amerikanske virksomheder.

Et centralt kritikpunkt mod EU-US Privacy Shield-aftalen er, at den ikke i tilstrækkelig grad sikrer en uafhængig og stærk klageinstans. Aftalen bør stille mere sikre garantier for, at den ombudsmand, som USA ifølge aftalen skal udpege, reelt bliver en klageinstans med magt til at bremse udlevering af persondata, der strider imod reglerne.

Usikker fremtid for Privacy Shield

De europæiske datatilsyn kan ikke formelt blokere for aftalen. EU-Kommissionen er da også gået videre med arbejdet, og har indledt møder med medlemsstaterne i regi af den såkaldte Artikel 31-gruppe (nedsat med hjemmel i artikel 31 i persondatadirektivet).

Medlemsstaterne har veto-ret over for EU-US Privacy Shield-aftalen, og EU-Kommissionen skal derfor betrygge et tilstrækkeligt flertal af stemmerne i Artikel 31-gruppen om, at aftalen - eventuelt med mindre ændringer - giver en tilstrækkelig beskyttelse.

Det var forventet, at drøftelserne mellem EU-Kommissionen og Artikel 31-gruppen kunne afsluttes på et møde den 20. maj 2016, men ifølge lækkede oplysninger er man ikke kommet i mål, og flere møder er nødvendige. Den oprindelige plan, hvor EU-US Privacy Shield-aftalen skulle have været på plads i juni 2016 kommer dermed ikke til at holde.

I mellemtiden er amerikanske virksomheder nødt til at bruge andre og mere krævende juridiske grundlag til at overføre data fra EU til USA - f.eks. EU-Kommissionens standard-kontrakter eller Binding Corporate Rules.

Uanset forsinkelsen står det klart, at EU-US Privacy Shield-aftalen vil blive genstand for retssager, når der en gang måtte blive udstedt en formel beslutning af EU-Kommissionen om, at Privacy Shield-ordningen kan bruges som overførselsgrundlag.

Plesners anbefaling er da også, at man allerede nu søger andre løsninger, hvis dette på nogen måde er praktisk muligt. Husk i den forbindelse, at den uformelle "overgangsperiode" er udløbet, og at man skal have etableret et andet grundlag til afløsning for Safe Harbor-ordningen.

Fremtiden for de øvrige overførselsgrundlag

Overførsel på grundlag af EU-Kommissionens standardkontrakter eller Binding Corporate Rules kan imidlertid også vise sig problematisk.

Samtidig med sin udtalelse om EU-US Privacy Shield-aftalen, afgav artikel 29-gruppen en udtalelse med en uddybning af de fire grundprincipper for, hvornår et lands lovgivning yder individerne en tilstrækkelig beskyttelse i relation til myndighedernes adgang til persondata. Hvis disse forhold ikke er tilfredsstillende, vil hverken EU-Kommissionens standardkontrakter eller Binding Corporate Rules i realiteten medføre en tilstrækkelig beskyttelse af de registrerede i de pågældende lande.

Indskærpelsen af grundprincipperne åbner i praksis for, at de nationale datatilsyn - sag-for-sag - kan se på, om overførslen af personoplysninger på grundlag af EU-Kommissionens standardkontrakter, er lovlig.

Det vil derfor ikke være overraskende, hvis den reelle konsekvens af italesættelsen af de fire grundprincipper bliver, at der på mellemlang sigt reelt lukkes for overførsel af data til visse lande, som ikke vurderes at yde tilstrækkelige retssikkerhedsmæssige garantier.

Plesner forventer, at Artikel 29-gruppen kommer med en yderligere udtalelse herom i forbindelse med gruppens næste møde den 7.-8. juni 2016.