Ny aftale mellem EU og USA om transatlantiske dataoverførsler: Nyt håb for brug af amerikansk cloud

Siden EU-Domstolens Schrems II-afgørelse har rummet for lovlige overførsler af personoplysninger til USA været meget snævert. Dette har efterladt en berettiget bekymring hos private organisationer og offentlige myndigheder, som benytter eller overvejer at benytte især amerikanske cloud-leverandører. Datatilsynets længe ventede vejledning om brugen af cloud gav – som forventet – ikke et quickfix, men nu giver en ny ”principaftale” mellem USA og EU fornyet håb om lovlig brug af amerikanske cloud-løsninger.

Den 25. marts 2022 annoncerede Ursula von der Leyen, formand for EU-Kommissionen, og USA’s præsident, Joe Biden, at EU-Kommissionen og USA har indgået en aftale om principperne for et nyt overførselsgrundlag (”Trans-Atlantic Data Privacy Framework”). Aftalen om principperne udgør fundamentet for en ny transatlantisk databeskyttelsesrammeaftale, som vil fremme transatlantiske dataoverførsler og adressere de udfordringer, som Schrems II-afgørelsen fra juli 2020 medførte.

Aftalen giver fornyet håb om en langtidsholdbar og effektiv løsning for bl.a. brug af cloud i USA.

Nøgleprincipperne i ”principaftalen” er følgende¹:

• Baseret på den nye rammeaftale vil data kunne overføres lovligt og sikkert mellem EU og amerikanske virksomheder.
  
• Krav til de amerikanske virksomheder (fx cloud-leverandører), som ønsker at anvende den nye rammeaftale, om selvcertificering om overholdelse af principperne og bekræftelse heraf over for det amerikanske handelsministerium.
  
• Et nyt sæt regler og bindende sikkerhedsforanstaltninger, som begrænser amerikanske efterretningsmyndigheders adgang til data til, hvad der er ”nødvendigt” og ”proportionelt” for at beskytte den nationale sikkerhed. Det indebærer, at amerikanske efterretningstjenester vil vedtage procedurer for at sikre effektivt tilsyn med nye standarder for privatliv og frihedsrettigheder.
  
• Et nyt to-trinsklagesystem til at efterforske og behandle klager fra EU-borgere over adgang til data fra amerikanske efterretningsmyndigheder, som omfatter en særlig type ”databeskyttelsesdomstol”.
  
• Specifikke overvågnings- og revisionsmekanismer.
  

^{1: Trans-Atlantic Data Privacy Framework.}

PwC anbefaler

Selvom udmeldingen om ”principaftalen” er kærkommen, kan ventetiden, indtil en endelig aftale er på plads, medføre større usikkerhed hos private organisationer og offentlige myndigheder. Det kan resultere i, at organisationerne forholder sig passive, indtil en endelig aftale er faldet på plads, og dermed give de registrerede fysiske personer en mindre databeskyttelse.

Som tidligere omtalt, er der lang vej igen til målet.

PwC anbefaler derfor, at dataansvarlige fortsætter med at dokumentere deres overførsler til tredjelande og følger EDPB’s trin for trin-guide (også kaldet ”Transfer Impact Assessment” eller ”TIA”):

• Trin 1: Kortlæg organisationens overførsler
  
• Trin 2: Få lovgrundlag for overførslen
  
• Trin 3: Vurdér tredjelandets beskyttelsesniveau
  
• Trin 4: Implementér supplerende foranstaltninger
  
• Trin 5: Tag processuelle skridt
• Trin 6: Påse løbende databeskyttelsesniveauet.

PwC har i en tidligere artikel analyseret ovenstående trin for trin-guide og i en efterfølgende artikel givet konkrete råd til, hvordan organisationen kan udføre de seks trin og dermed organisationens ”Transfer Impact Assessment”.

Datatilsynet har også udgivet Vejledning om cloud, som kan være til gavn for organisationer, som benytter – eller overvejer at benytte – cloud-tjenester i fx USA.