Efter EU-Domstolen i juli 2020 erklærede overførselsgrundlaget i Privacy Shield-aftalen i Schrems II-dommen ugyldigt, har der været usikkerhed om, hvordan man lovligt og sikker vis kan overføre personoplysninger fra EU til USA. EU-Kommissionen og USA har siden da forhandlet om et nyt overførselsgrundlag til erstatning af Privacy Shield, og der er nu lys i horisonten. Navnet på det nye overførselsgrundlag bliver 'Trans-Atlantic Data Privacy Framework'.
USA og EU er blevet enige om principperne for en ny overførselsaftale, selvom selve teksten ikke er klar endnu. Ambitionen er dog, at der igen skal være fri samhandel mellem EU og de virksomheder i USA, der har selv-certificeret, at de vil overholde de principper, som aftalen skal udmøntes i.
Aftalens grundelementer
De væsentlige overordnede elementer, som EU og USA er blevet enige om, er:
- at der skal sikres et frit og sikkert dataflow mellem EU og de deltagende virksomheder i USA.
- at der skal opstilles nye regler og bindende sikkerhedsmekanismer, som begrænser amerikanske retshåndhævende myndigheders adgang til personoplysninger til, hvad der er nødvendigt og proportionalt for at beskytte national sikkerhed.
- at de amerikanske retshåndhævende myndigheder tilrettelægger nye procedurer, der skal sikre gennemsigtighed og overensstemmelse med en ny standard for privatlivs- og borgerrettigheder.
- at der oprettes et nyt to-trins system, der skal sikre effektiv retlig prøvelse for de registrerede i EU, hvis personoplysninger er blevet overført og tilgået af amerikanske retshåndhævende myndigheder.
- at virksomheder, som overfører personoplysninger fra EU til USA, skal selv-certificere sig hos det amerikanske Department of Commerce.
EU-Kommissionen og USA's aftale vil danne grundlag for udfærdigelsen af en Executive Order (bekendtgørelse) i USA. Den vil herefter udgøre grundlaget for EU-Kommissionens tilstrækkelighedsvurdering.
Godkendelsesproces hos EU-Kommissionen
Når EU-Kommissionen og EU er enige om detaljerne, og Executive Order er udfærdiget i USA, skal det Europæiske Databeskyttelsesråd (EDPB) også udtale sig om udkastet til tilstrækkelighedsvurderingen, inden EU-Kommissionen kan vedtage den endeligt. Det forventes, at EDPB vil gå grundigt til værks i sin gennemgang. Hvis EDPB har indvendinger mod udkastet, kan det trække ud med en endelig godkendelsesproces i EU-Kommissionen.
Vores bud er, at det formentlig vil tage flere måneder at få et nyt overførselsgrundlag på plads, men forhåbentlig kan det lykkes i løbet af 2022. Men status i dag og i morgen er stadig, at der ikke er et nyt overførselsgrundlag på plads endnu, så indtil videre skal dataansvarlige og databehandlere fortsætte som hidtil i forbindelse med overførsler til USA med blandt andet risikovurderinger, TIA'er og supplerende foranstaltninger, hvor det er nødvendigt.