Efter EU-Domstolens Schrems II er der udsigt til et nyt overførselsgrundlag for data mellem EU og USA. EU-Kommissionen har fremlagt et udkast til tilstrækkelighedsafgørelse baseret på Trans-Atlantic Data Privacy Framework og den amerikanske Executive Order 14086, der indfører krav om nødvendighed og proportionalitet ved efterretningstjenesters adgang til personoplysninger samt en ny totrins klageordning via ODNI og DPRC. Indtil ordningen er endeligt vedtaget og implementeret, skal organisationer fortsat anvende SCC’er og dokumentere overførsler i TIA’er.
Det nye regime og virksomheders forpligtelser
Det forventede regime forudsætter, at amerikanske modtagere selvcertificerer sig hos Department of Commerce og overholder centrale databeskyttelsesprincipper, herunder oplysningspligt, formålsbegrænsning, passende sikkerhed og de registreredes rettigheder. Executive Order 14086 forpligter samtidig de amerikanske efterretningstjenester til at revidere procedurerne, så indgreb begrænses til det nødvendige og proportionale.
Ordningen søger dermed at adressere de mangler, EU-Domstolen påpegede i Schrems II, særligt myndigheders adgang til data. Kommissionens udkast følges af tilsyn og kontrolmekanismer, men forudsætter praktisk implementering i USA og aktiv tilslutning fra de amerikanske virksomheder, der ønsker at modtage data.
Status i EU og næste skridt
LIBE-udvalget og EDPB anerkender forbedringerne men efterlyser justeringer, bl.a. vedrørende proportionalitetsstandarden og dokumentation for effektiv implementering. Kommissionen kan derfor foretage ændringer, før en endelig afgørelse vedtages.
Overførsel uden supplerende foranstaltninger kan først ske, når følgende forudsætninger er opfyldt:
- Amerikansk lovgivning og retningslinjer er fuldt implementeret, herunder EO 14086.
- Danmark er udpeget som qualifying state med adgang til ODNI/DPRC for danske registrerede.
- Kommissionens tilstrækkelighedsafgørelse er endeligt vedtaget.
- Amerikanske modtagere er registreret under ordningen hos Department of Commerce.
Indtil da bør organisationer fastholde SCC’er med relevante tekniske og organisatoriske foranstaltninger, gennemføre TIA’er og overvåge den regulatoriske udvikling for hurtig overgang til TADPF, når betingelserne er på plads.
