Det Europæiske Databeskyttelsesråd (EDPB) har afgivet udtalelse om EU-Kommissionens udkast til en tilstrækkelighedsafgørelse for EU‑US Data Privacy Framework. Rådet anerkender markante forbedringer i forhold til Privacy Shield, men fremhæver samtidig en række væsentlige risici, der bør håndteres, før ordningen kan anses som fuldt betryggende. Udtalelsen er ikke bindende, men har betydelig vægt i Kommissionens videre arbejde.
Centrale forbedringer
EDPB fremhæver, at principperne om nødvendighed og proportionalitet nu udtrykkeligt gælder for amerikanske efterretningstjenesters signalhentning. Det udgør et tydeligt skridt i retning af at begrænse indgreb i registreredes rettigheder og bringe praksis tættere på EU-standarder.
Rådet vurderer også, at klagemulighederne for registrerede er styrket gennem etableringen af Data Protection Review Court. I forhold til den tidligere ombudspersonmodel fremstår ordningen mere formaliseret og med bedre processuelle rammer for kontrol og afhjælpning.
Kvarstående bekymringer
På den kommercielle del efterlyser EDPB klarhed om, hvordan registrerede effektivt kan udøve indsigt, og opfordrer til eksplicitte regler om automatiske individuelle afgørelser og profilering i rammeaftalen. Rådet peger desuden på usikkerheder ved videreoverførsel til andre tredjelande.
For myndighedsadgang anfører EDPB, at masseindsamling kan ske uden forudgående godkendelse fra en uafhængig instans, hvilket udfordrer kontrolniveauet. Samtidig rejser rådet tvivl om Data Protection Review Courts uafhængighed og fraværet af ankemulighed, og anbefaler tæt opsyn med ordningen.
EDPB ønsker, at både vedtagelse og ikrafttræden betinges af, at alle relevante amerikanske efterretningstjenester har implementeret politikker i medfør af Executive Order 14086. Rådet anbefaler endvidere, at Kommissionen gennemfører en systematisk revision mindst hvert tredje år.
Konsekvenser og næste skridt
Hvis Kommissionen vedtager en tilstrækkelighedsafgørelse, vil overførsel til amerikanske organisationer certificeret under DPF kunne ske på et lovligt grundlag. Virksomheder bør dog fortsat kortlægge deres dataflows og være forberedt på at anvende alternative overførselsmekanismer, hvis ordningen ændres eller udfordres.
Retlige prøvelser ved EU-Domstolen kan ikke udelukkes. Indtil der foreligger endelig klarhed, bør dataansvarlige styrke compliance, sikre dokumentation for risikovurderinger og følge udviklingen i både amerikansk implementering og den kommende EU‑revision af ordningen.
