For få år siden, var der store problemer med at overføre data mellem USA og EU som følge af Schrems II-dommen, der gjorde Privacy Shield-aftalen om dataoverførsler ugyldig – på samme måde som Schrems I-dommen gjorde Safe Harbour-aftalen inden da ugyldig.
Men i sommeren 2023 kom Data Privacy Framework (DPF), den seneste aftale, som fungerer som lovgrundlag for dataoverførsler mellem EU og USA – såfremt der er styr på alle nødvendige processer.
Aftalen har vakt diskussion mellem GDPR-eksperter og privacy-aktivisten Max Schrems og hans organisation NOYB har allerede proklameret, at de vil tage aftalen til domstolene ligesom det er sket med de to foregående aftaler, selvom organisationen endnu ikke har handlet på ordene.
"Vi har allerede forskellige muligheder for en sag mod aftalen i skuffen, selvom vi er trætte af denne lovmæssige ping-pong. Vi forventer i øjeblikket, at den (aftalen, red.) er tilbage ved Domstolen i begyndelsen af næste år," udtalte Max Schrems blandt andet, da aftalen kom i stand. NOYB har dog ikke sendt aftalen for retten endnu.
Nogle af de største kritikker har været, at USA ikke beskytter data fra europæiske borgere i høj nok grad og ikke vil tage aftalens indhold alvorligt i forhold til håndtering af klager over databehandling.
Ikke desto mindre er EU-Kommissionen selv tilfreds med USA’s indsats. De nødvendige strukturer og procedurer er på plads.
Det fremgår af konklusionen i EU’s første evaluering af Data Privacy Framework, som kommissionen netop har udgivet.
”Baseret på de oplysninger, der blev indsamlet under denne første gennemgang, konkluderer Kommissionen, at de amerikanske myndigheder har etableret de nødvendige strukturer og procedurer for at sikre, at Data Privacy Framework fungerer effektivt. I denne sammenhæng værdsætter Kommissionen i høj grad det meget gode samarbejde med de amerikanske myndigheder om at gennemføre gennemgangen,” står der i kommissionens konklusion af evalueringen.
Kommissionen vil nøje overvåge udviklingen, fremgår det kort efter.
Derudover mener Kommissionen, at det er vigtigt for aftalens fremtid, at der er fokus på følgende punkter:
- At det amerikanske justitsministerium (DoC) i højere grad gør brug af de forskellige værktøjer, der er til rådighed i DPF til overvågning af virksomheders overholdelse af principperne og til at opdage falske påstande om deltagelse.
- At den amerikansk konkurrencemyndighed FTC videreudvikler sin proaktive tilgang til undersøgelse og håndhævelse af certificerede virksomheders overholdelse af DPF-principperne.
- At DoC, FTC og EU's databeskyttelsesmyndigheder udvikler fælles vejledningsinstrumenter om nøglekrav under DPF-principperne, for eksempel om HR-data og videreoverførsler.
”Dette bør give mulighed for at opnå mere erfaring med den praktiske anvendelse af DPF og tage hensyn til de ovennævnte kommende udviklinger,” skriver kommissionen.
Sendte folk til Washington
For at kunne foretage evalueringen sendte EU en række folk til Washington for at samle materiale til vurderingen. Denne delegation bestod af repræsentanter fra kommissionen og fra det europæiske datatilsyn EDPB.
Anna Carolina Jensen var med i Washington som den danske repræsentant, skriver Datatilsynet i en meddelelse.
"Rejsen var en mulighed for at komme helt ind i maskinrummet og se, hvordan det fungerer i praksis med de her transatlantiske overførsler efter de to domme og årelange forhandlinger mellem EU og USA. Jeg bed særligt mærke i, at parterne på begge sider af bordet i høj grad var på bølgelængde, og at man arbejder mod det samme mål på trods af alle forskellene," fortæller Anna Carolina Jensen i meddelelsen.
Fra USA deltog de involverede myndigheder samt repræsentanter fra private klageorganer og DPF-certificerede virksomheder.
"Det var et stort privilegium at sidde sammen med disse ekstremt kvalificerede folk, hvoraf flere havde været med til forhandlingerne forud for tilstrækkelighedsafgørelsen. Det var enormt spændende og lærerigt at være med på dette niveau," udtaler Anna Carolina Jensen.