Trans-Atlantic Data Privacy Framework
Schrems-II dommen skapte problematikk for flere selskaper som bruker amerikanske systemleverandører. Dommen resulterte i en underkjennelse av overføringsgrunnlaget Privacy Shield, og regelverket for overføring til USA ble i stor grad uhåndterbar for flere selskaper. Derimot den 25. mars i år annonserte EU-kommisjonen og USA at det forelå en overenskomst om et nytt rammeverk som skal erstatte avtalen Privacy Shield.
Den nye ordningen har navnet Trans-Atlantic Data Privacy Framework. Per nå foreligger det ikke detaljert informasjon om selve innholdet, men av vedlagt dokument er det presentert flere nøkkelprinsipper som grunnlag for dataflyt mellom USA og EU. I kjent EU ånd, kan vi si at prinsippene skal danne grunnlaget for fri og sikker flyt av personopplysninger.
For det første har USA forpliktet seg til å implementere tiltak for å sikre begrenset utlevering av personopplysninger til amerikanske overvåkningsmyndigheter. Dette punktet stadfester at utlevering må ses under en nødvendighets- og proporsjonalitetsvurdering. Vurderingen skal bidra til et adekvat beskyttelsesnivå, og skal sørge for at europeisk borgere skal nyte samme sikkerhet under amerikansk lovgivning, som under GDPR.
Neste prinsipp stadfester effektive klagemekanismer. EU-borgere skal få flere muligheter til å fremme klager angående utlevering og andre overvåkningstiltak. Den konkrete løsningen er ikke klar, men det er tale om en uavhengig domstol omtalt som Data Protection Review Court. I den forbindelse er det hensiktsmessig å reise en problemstilling om varsling til de registrerte. Om en registrert skal ha mulighet til å fremme en klage angående slik behandling, må den registrerte også være klar over at deres personopplysninger er blitt gjenstand for utlevering og overvåkning.
Tredje prinsippet etablerer en lovnad om strenge forpliktelser ovenfor amerikanske selskaper. Forpliktelsene vil inkludere selvsertifisering av deres overholdelse av prinsippene gjennom U.S. Department of Commerce. Fjerde prinsipp oppstiller et krav om spesifikke overvåknings- og gjennomgangsmekanismer.
Det nye regelverket skal adressere problemstillingene reist i Screms-II dommen. Målsettingen er å sikre tilstrekkelig beskyttelse av personopplysninger tilhørende europeiske borgere. Selv om det økonomiske hensynet bak GDPR i enkelte tilfeller kan bli noe glemt, er konkurransedyktig digital økonomi og økonomisk samarbeid fremhevet som en klar fordel ved å få et nytt regelverk på plass.
Neste steg i prosessen er å utarbeide overenskomsten i konkrete juridiske dokument. For USA sin del vil avtalen være del av en Executive Order som besluttes av presidenten. Beslutningen vil utgjøre grunnlaget for en adekvansbeslutning avsagt av EU-kommisjonen etter GDPR art. 45. Adekvansbeslutningen vil utgjøre en forutsetning før overføring etter det nye regelverket kan påbegynnes.
Max Schrems har allerede uttalt at han har liten tro på at den nye ordningen vil være lovlig. Fra hans side foreligger det en lovnad om at en eventuell ferdigutarbeidet ordning vil bli gjenstand for vurdering, og om aktuelt, videre bli fremmet for EU-domstolen. Vi regner med at EU og USA ønsker å unngå en Schrems III-dom, slik at de legger ned et grundig arbeid med tanke på tekstutforming.