Et skridt tættere på aftale om overførsler af personoplysninger til USA

Formålet med Joe Bidens dekret og den tilhørende lovgivning er at implementere USA's forpligtelser, der følger af ovennævnte principaftale, og ikke mindst at imødekomme de reservationer i forhold til amerikansk ret, som blev rejst af EU-Domstolen i den meget omtalte Schrems II-dom. 

Helt konkret følger det af det nye dekret, at de amerikanske efterretningstjenester fremadrettet vil være underlagt krav om nødvendighed og proportionalitet i forbindelse med indsamling af data, og at der vil blive etableret et nyt to-trins klagesystem, herunder en ny domstol til håndtering af databeskyttelsesklager (Data Protection Review Court). Den nye lovgivning forpligter tillige de amerikanske efterretningstjenester til at gennemgå deres politikker og procedurer med henblik på at implementere disse nye sikkerhedsforanstaltninger. 

Amerikanske efterretningstjenester skal efterleve principper om nødvendighed og proportionalitet

Den nye lovgivning forpligter de amerikanske efterretningstjenester til at begrænse deres aktiviteter i forbindelse med indsamling af data til, hvad der er nødvendigt og proportionalt, herunder til at opnå definerede oplistede legitime formål. Principperne om nødvendighed og proportionalitet er skrevet direkte ind i lovgivningen, hvoraf det også følger, at efterretningstjenesterne skal være underlagt et strengt tilsyn for at sikre, at de agerer i overensstemmelse med principperne. 

Dekretet oplister i alt tolv legitime formål, som kan danne grundlag for efterretningstjenesternes indsamlingsaktiviteter. Et af de legitime formål er fx beskyttelse mod terrorisme og i gidseltagningssituationer. I tillæg til de legitime formål defineres fire forbudte formål, hvortil der ikke må ske indsamling af data, herunder fx uretfærdig behandling af personer på grund af deres etnicitet, race, køn, kønsidentitet, seksuelle orientering eller religion. 

Lovgivningens tilsynsmekanisme indebærer, at den nuværende "Civil Liberties Protection Officer (CLPO)" fra det agentur, der i forvejen fører tilsyn med efterretningsfællesskabet (det såkaldte "Office of the Director of National Intelligence (ODNI)"), regelmæssigt skal vurdere, om de grænser, der er fastsat i dekretet, overholdes. Herudover skal de enkelte dele af efterretningstjenesterne, der indsamler data, udpege en række embedsmænd, som skal være uafhængige, føre tilsyn og sikre overholdelse af gældende amerikansk ret. Efterretningstjenesterne skal også sikre, at deres medarbejdere bliver oplært i at forstå kravene i den nye lovgivning, herunder oplæring og uddannelse i politikker og procedurer for rapportering og afhjælpning af manglende overholdelse af gældende amerikansk lovgivning.  

To-trins klagesystem og tilsyn

En klage undergives først en indledende undersøgelse hos CLPO, som modtager og undersøger enkeltpersoners krav indgivet via en passende offentlig myndighed i en såkaldt "kvalificeret stat". Det følger af dekretet, hvad justitsministeren skal lægge vægt på, når de kvalificerede stater skal udpeges, herunder i) at amerikanere tilbydes samme beskyttelse i forbindelse med indsamling af personoplysninger fra deres efterretningstjenester, når amerikaneres data overføres til disse staters territorium, ii) at de tillader eller forventes at tillade overførsel af personoplysninger til kommercielle formål mellem deres territorium og USA, og iii) at udpegelsen vil fremme amerikanske nationale interesser. 

Hvis CLPO identificerer en juridisk overtrædelse, skal CLPO beslutte, hvad en passende afhjælpning er i den pågældende sag. Herefter udarbejder CLPO en klassificeret rapport til lederen af Justitsministeriets afdeling for national sikkerhed (Assistant Attorney General for National Security), som viderebehandler rapporten i overensstemmelse med de procedurer, vedkommende er underlagt. Når undersøgelsen er afsluttet, skal CLPO informere klageren om undersøgelsen via den behørige offentlige myndighed i den kvalificerede stat uden dog hverken at be- eller afkræfte, om den pågældende klager har været genstand for efterretningstjenesternes indsamlingsaktiviteter. Dekretet foreskriver, at efterretningsfællesskabet skal samarbejde med CLPO og overholde enhver beslutning om afhjælpende foranstaltninger. 

CLPO's afgørelse kan efterprøves i Data Protection Review Court, som består af tre udpegede dommere pr. sag. Disse dommere vælges ud fra en liste af personer uden for regeringen, der er udvalgt af justitsministeren med input fra handelsministeren, direktøren for National Efterretningstjeneste og Privacy and Civil Liberties Oversight Board (PCLOB). Klageren/sagsøgeren vil få en særlig advokat, der skal repræsentere vedkommende for Data Protection Review Court.  

Data Protection Review Court har beføjelser til at undersøge klagesager indgivet af europæere, herunder til at indhente relevante oplysninger fra efterretningstjenester, og vil være i stand til at træffe bindende afhjælpende afgørelser. Hvis Data Protection Review Court fx finder, at data er blevet indsamlet i strid med de sikkerhedsforanstaltninger, der er fastsat i dekretet, vil retsinstansen være i stand til at beordre sletning af sådanne data.

Det følger også af dekretet, at både Handelsministeriet og PCLOB skal føre tilsyn med efterretningsfællesskabet. Handelsministeriet skal vurdere hvert femte år, om der er nogle af de behandlede sager, der ikke længere anses for at være klassificerede, så disse løbende kan offentliggøres af hensyn til gennemsigtighed. PCLOB opfordres i dekretet til én gang årligt at vurdere klageprocessen, herunder blandt andet at vurdere, om sagerne er behandlet inden for en rimelig frist, og om CLPO og Data Protection Review Court har fuld adgang til relevante informationer i forbindelse med deres behandling af klagesagerne mv. 

Ifølge EU-Kommissionen, som allerede har været ude med en første kommentar til dekretet, er ovenstående en væsentlig forbedring af de mekanismer, som eksisterede under Privacy Shield-ordningen, hvor de registrerede kunne henvende sig til en Ombudsmand, som var en del af regeringen og hverken havde undersøgelsesbeføjelser eller bindende beslutningskompetence. 

Hvad er de(t) næste skridt?

EU-Kommissionen har meddelt, at Kommissionen nu går videre til næste skridt, som indebærer udarbejdelse af udkast til afgørelse om tilstrækkelighed og iværksættelse af vedtagelsesproceduren. Vedtagelsesproceduren for en tilstrækkelighedsvurdering af et overførselsgrundlag består af forskellige trin, herunder indhentelse af udtalelse fra Det Europæiske Databeskyttelsesråd (EDPB) og godkendelse fra et udvalg bestående af repræsentanter fra medlemsstaterne. Herudover har EU-Parlamentet ret til at føre kontrol med tilstrækkelighedsvurderinger. 

Først derefter kan EU-Kommissionen vedtage den endelige beslutning om tilstrækkelighed i forhold til USA og den nye ramme for et sikkert overførselsgrundlag. Det betyder helt konkret, at det først er fra dette øjeblik, personoplysninger vil kunne udveksles frit mellem virksomheder i EU og USA, der er certificeret af Handelsministeriet under den nye ramme. Amerikanske virksomheder vil være i stand til at tilslutte sig rammen ved at forpligte sig til at overholde en række databeskyttelsesretlige krav.

EU-Kommissionen tror ikke, EU-Domstolen vil underkende den nye aftale

EU-Kommissionen har i sin pressemeddelelse adresseret, hvorfor Kommissionen mener, at EU-Domstolen ikke vil underkende den nye aftale, nemlig at hele formålet med forhandlingerne har været at imødegå de bekymringer, som EU-Domstolen rejste i Schrems II-dommen. Dette afspejles i de ovenfor beskrevne sikkerhedsforanstaltninger, der direkte adresserer bekymringerne i Schrems II-dommen, herunder hvad angår den materielle begrænsning af efterretningstjenesternes adgang til data (principperne om nødvendighed og proportionalitet) samt etablering af det nye to-trins klagesystem med bindende beslutningskompetence.  

EU-Kommissionen bemærker også, at alle de sikkerhedsforanstaltninger, som EU-Kommissionen har aftalt med den amerikanske regering på området for national sikkerhed, inklusive to-trins klagesystemet, vil være tilgængelig for alle overførsler af personoplysninger til USA, der er omfattet af GDPR, uanset hvilket overførselsgrundlag der anvendes. 

Kromann Reumerts bemærkninger

Joe Bidens dekret betyder ikke, at danske virksomheder og myndigheder allerede nu kan overføre personoplysninger til USA uden et overførselsgrundlag i medfør af kapitel 5 i databeskyttelsesforordningen og uden opfyldelse af de krav, som følger af Schrems II-dommen. Dette er bekræftet i en nyhed fra Datatilsynet i fredags. Det er derfor vigtigt, at dataansvarlige fortsat forholder sig til overførselsgrundlag og de supplerende tekniske sikkerhedsforanstaltninger, som skal iagttages ved overførsler af personoplysninger til USA på nuværende tidspunkt. Ved vurderingen og evt. udarbejdelse af Transfer Impact Assessments (TIA) kan det muligvis spille ind, at dele af den nye lovgivning allerede formelt set har virkning, og at klagesystemet gælder fra december. 

Der er allerede kommet mange reaktioner på dekretet, herunder også de første kritiske bemærkninger fra bl.a. nonprofitorganisationen None Of Your Business (NYOB).

I øjeblikket er forventningen, at overførselsgrundlaget tidligst vil kunne anvendes fra marts 2023. Uanset hvornår en afgørelse kan forventes, er det dog vigtigt at være opmærksom på, at den kommende lovgivning ikke løser de helt parallelle udfordringer med overførsel af personoplysninger til andre lande uden for EU/EØS, som ikke vurderes at tilbyde et beskyttelsesniveau, der i det væsentlige svarer til niveauet inden for EU/EØS. I situationer med data- eller underdatabehandlere i disse lande skal der derfor fortsat foretages en vurdering af, hvilke tekniske supplerende foranstaltninger der skal iagttages for at bringe beskyttelsesniveauet til et niveau, der i det væsentlige svarer til beskyttelsesniveauet inden for EU/EØS.

Datatilsynet har senest udtalt sig herom i sin afgørelse vedrørende brugen af Google Chromebook, hvor det fremgår, at den dataansvarlige skal tilvejebringe et gyldigt overførselsgrundlag til alle de tredjelande, hvortil personoplysninger kan blive overført som led i leveringen af en ydelse i henhold til et aftalegrundlag, herunder også ved service og support.

Kromann Reumert står naturligvis klar til at sparre med jer om betydningen af den nye amerikanske lovgivning, herunder hvordan I skal forholde jer til situationen, imens vedtagelsesproceduren pågår, ligesom vi tilbyder bistand i forbindelse med udarbejdelse og revidering af TIA'er i lyset af den nye lovgivning mv.