Europa-Kommissionen har i dag (10 juli 2023) vedtaget sin afgørelse om tilstrækkeligheden af beskyttelsesniveauet for EU-USA-databeskyttelsesrammen. I afgørelsen konkluderes det, at USA sikrer et tilstrækkeligt beskyttelsesniveau — svarende til beskyttelsesniveauet i Den Europæiske Union — for personoplysninger, der overføres fra EU til amerikanske virksomheder i henhold til den nye ramme. På grundlag af den nye afgørelse om tilstrækkeligheden af beskyttelsesniveauet kan personoplysninger strømme sikkert fra EU til amerikanske virksomheder, der deltager i rammen, uden at det er nødvendigt at indføre yderligere databeskyttelsesgarantier.
Med EU-USA-databeskyttelsesrammen indføres nye bindende garantier for at imødekomme alle de betænkeligheder, som Den Europæiske Unions Domstol har givet udtryk for, herunder begrænsning af amerikanske efterretningstjenesters adgang til EU-data til det, der er nødvendigt og rimeligt, og oprettelse af en databeskyttelsesappelret (DPRC), som enkeltpersoner i EU vil få adgang til. Med den nye ramme indføres betydelige forbedringer i forhold til den mekanisme, der fandtes under privatlivsskjoldet. Hvis DPRC f.eks. konstaterer, at data er indsamlet i strid med de nye garantier, vil det kunne kræve, at oplysningerne slettes. De nye garantier på området offentlig adgang til data vil supplere de forpligtelser, som amerikanske virksomheder, der importerer data fra EU, skal overholde.
Kommissionens formand, Ursula von der Leyen, udtaler: “Den nye EU-USA-databeskyttelsesramme vil garantere sikre datastrømme for europæerne og skabe retssikkerhed for virksomheder på begge sider af Atlanten. Efter at præsident Biden og jeg nåede til principiel enighed sidste år, har USA gennemført hidtil usete tilsagn om at etablere den nye ramme. I dag tager vi et vigtigt skridt for at give borgerne tillid til, at deres data er sikre, for at uddybe vores økonomiske bånd mellem EU og USA og for samtidig at bekræfte vores fælles værdier. Det viser, at vi ved at arbejde sammen kan tackle de mest komplekse spørgsmål.”
Amerikanske virksomheder vil kunne tilslutte sig EU-USA-databeskyttelsesrammen ved at forpligte sig til at overholde et detaljeret sæt forpligtelser til beskyttelse af privatlivets fred, f.eks. kravet om at slette personoplysninger, når de ikke længere er nødvendige til det formål, hvortil de blev indsamlet, og at sikre kontinuitet i beskyttelsen, når personoplysninger deles med tredjeparter.
Enkeltpersoner i EU vil få gavn af flere klagemuligheder, hvis deres oplysninger behandles forkert af amerikanske virksomheder. Dette omfatter gratis uafhængige tvistbilæggelsesmekanismer og et voldgiftspanel.
Desuden indeholder USA’s retlige ramme en række garantier med hensyn til adgangen til oplysninger, som de amerikanske offentlige myndigheder overfører i henhold til rammen, navnlig med henblik på strafferetlig håndhævelse og national sikkerhed. Adgangen til data er begrænset til, hvad der er nødvendigt og rimeligt for at beskytte den nationale sikkerhed.
Enkeltpersoner i EU vil få adgang til en uafhængig og upartisk klagemekanisme vedrørende amerikanske efterretningstjenesters indsamling og anvendelse af deres data, som omfatter en nyoprettet databeskyttelsesappelret (DPRC). Retten vil uafhængigt undersøge og afgøre klager, herunder ved at vedtage bindende afhjælpende foranstaltninger.
De garantier, som USA har indført, vil også lette de transatlantiske datastrømme mere generelt, da de også gælder, når data overføres ved hjælp af andre værktøjer såsom standardkontraktbestemmelser og bindende virksomhedsregler.
Næste skridt
Kommissionen vil sammen med repræsentanter for europæiske databeskyttelsesmyndigheder og kompetente amerikanske myndigheder regelmæssigt gennemgå, hvordan EU-USA-databeskyttelsesrammen fungerer.
Den første gennemgang vil finde sted senest et år efter ikrafttrædelsen af afgørelsen om tilstrækkeligheden af beskyttelsesniveauet for at kontrollere, at alle relevante elementer er blevet gennemført fuldt ud i USA’s retlige rammer og fungerer effektivt i praksis.
Baggrund
Artikel 45, stk. 3, i den generelle forordning om databeskyttelse (GDPR) giver Kommissionen beføjelser til ved hjælp af en gennemførelsesretsakt at beslutte, at et tredjeland sikrer et “tilstrækkeligt beskyttelsesniveau”, dvs. et beskyttelsesniveau for personoplysninger, der i det væsentlige svarer til beskyttelsesniveauet i EU. Virkningen af afgørelser om tilstrækkeligheden af beskyttelsesniveauet er, at personoplysninger kan overføres frit fra EU (samt Norge, Liechtenstein og Island) til et tredjeland uden yderligere hindringer.
Efter at EU-Domstolen ugyldiggjorde den tidligere afgørelse om tilstrækkeligheden af beskyttelsesniveauet vedrørende EU’s og USA’s værn om privatlivets fred, indledte Europa-Kommissionen og den amerikanske regering drøftelser om en ny ramme, der behandlede de spørgsmål, som Domstolen havde rejst.
I marts 2022 meddelte kommissionsformand Ursula von der Leyen og præsident Biden, at de var nået til principiel enighed om en ny transatlantisk ramme for datastrømme efter forhandlinger mellem kommissær Didier Reynders og USA’s handelsminister Gina M. Raimondo. I oktober 2022 undertegnede præsident Biden et dekret om fremme af garantier i de amerikanske signalefterretningsaktiviteter, som blev suppleret af forskrifter udstedt af den amerikanske justitsminister Merrick Garland. Tilsammen gennemførte disse to instrumenter principielt USA’s tilsagn i henhold til aftalen i amerikansk ret og supplerede de amerikanske virksomheders forpligtelser i henhold til EU-USA-databeskyttelsesrammen.
Et væsentligt element i den amerikanske retlige ramme, der sikrer disse garantier, er det amerikanske dekret om fremme af garantier i de amerikanske signalefterretningsaktiviteter, som imødekommer de betænkeligheder, som Den Europæiske Unions Domstol gav udtryk for i sin Schrems II-afgørelse fra juli 2020.
Rammen administreres og overvåges af det amerikanske handelsministerium. USA’s handelskommission (FTC) vil håndhæve amerikanske virksomheders overholdelse af reglerne.
