I sidste måned godkendte gav EU-Kommissionen dataoverførselsaftalen Data Privacy Framework (DPF) en tommel op i den første gennemgang af aftalen med USA, siden den blev indgået.
Nu er turen kommet til European Data Protection Board (EDPB), som er kommet med en selvstændig rapport om kommissionens vurdering af DPF. Aftalen er selve lovgrundlaget for, at der måsendes data mellem EU og USA.
Myndigheden understreger, at USA har gjort fremskridt inden for datasikkerhed.
”EDPB byder velkommen til de bestræbelser, som de amerikanske myndigheder og Kommissionen har gjort for at implementere DPF, især med hensyn til klagemulighederne for EU-borgere under DPF-principperne samt udnævnelsen af DPRC-dommere og særlige advokater,” skriver Anu Talus, formand for EDPB i sin rapport om DPF.
Samtidig understreger hun, at der fortsat er en række bekymringer og områder, der skal afklares.
En stærkere indsats fra myndighederne
Det første punkt er, at hun forventer, at det amerikanske handelsministerium, U.S Department of Commerce (DoC), skal have yderligere kontroller med virksomheder, der certificerer sig til ordningen.
”EDPB forventer, at DoC i den nærmeste fremtid øger sin egenhændige tilsyns- og strukturelle håndhævelsesindsats vedrørende den væsentlige overholdelse af DPF-principperne af certificerede organisationer,” fremgår det af rapporten, som fortsætter:
”Behovet for mere tilsynsaktivitet på dette område blev tidligere identificeret af Kommissionen og EDPB under de fælles gennemgange af Privacy Shield.”
Privacy Shield var den tidligere dataaftale mellem EU og USA, som faldt ved en retssag.
Gennemgangen af DPF peger også på mangel af overvågningsaktiviteter i forhold til overholdelse af principperne i aftalen, skriver Talus. Derfor er der brug for en mere proaktiv overholdelsesindsats både fra USA og EU, særligt set i lyset af det lave antal af klager, der er kommet.
Når borgere ikke aktivt påpeger fejl, er det op til myndighederne at undersøge sagerne, lyder vurderingen.
”EDPB understreger behovet for, at Kommissionen nøje overvåger dette aspekt, herunder i fremtidige gennemgange af DPF,” skriver Talus i konklusionen.
Mere vejledning
Det andet område, der skal forbedres, er vejledningen om reglerne.
”Desuden vil EDPB gerne tilskynde DoC til at arbejde på og offentliggøre praktisk vejledning om ansvarlighed for videreoverførselsprincippet i DPF. ” skriver Anu Talus og fortsætter:
”EDPB er bekymret for, at nogle DPF-certificerede virksomheder muligvis ikke er opmærksomme på kravene til lovlige overførsler af personoplysninger, som de har modtaget fra EU-eksportører til tredjelande, der ikke er blevet vurderet som tilstrækkelige af Kommissionen i henhold til artikel 45 GDPR.”
Derudover mener EDPB og Talus, at der er behov for at få afklaret fortolkningsforskellene af HR-data på tværs af EU og USA. Derfor opfordrer EDPB ligeledes DoC til hurtigt at udvikle vejledning på dette område, som anerkender HR-data under DPF.
Statens adgang til data og FISA
EDPB ønsker klarhed omkring regeringers adgang til data -særligt inden for amerikansk lovgivning.
”EDPB ville have værdsat muligheden for at drøfte eksempler på, hvordan principperne om nødvendighed og proportionalitet, der blev indført i den amerikanske lovgivning for indsamling af signalefterretninger gennem EO 14086, specifikt fortolkes og anvendes på agenturniveau,” skriver myndigheden.
Derfor er dette et område, der bør være stort fokus på fremover.
”EDPB understreger derfor behovet for at fortsætte med nøje at overvåge dette aspekt, herunder i fremtidige gennemgange af DPF,” skriver Talus.
Dertil skal klageprocessen nøje overvåges af EU-Kommissionen i fremtiden, da den i ringe grad er afprøvet i praksis.
EDPB beklager derudover, at RISAA (Reforming Intelligence and Securing America Act) ikke er inkluderet i PCLOB’ (Privacy and Civil Liberties Oversight Board) anbefaling om at kodificere visse garantier i Executive Order i Section 702 FISA.
”EDPB er bekymret for, at ændringen af definitionen af Elektronisk Kommunikationsserviceudbyder ikke opfylder kravet om klar, præcis og tilgængelig lovgivning – både for de personer, hvis persondata muligvis tilgås, og for de virksomheder, der nu er omfattet af Section 702 FISA.”
”EDPB anser det for vigtigt, at Kommissionen følger op på fremtidige udviklinger vedrørende Section 702 FISA, især anvendelsen af den udvidede definition af Elektronisk Kommunikationsserviceudbyder i praksis. EDPB vil også gerne opfordre PCLOB til at overvåge disse udviklinger,” skriver formanden i rapporten.
Derudover understreger EDPB, at et passende beskyttelsesniveau også skal sikres i forbindelse med regeringens adgang af persondata fra amerikanske efterretningstjenester fra datamæglere og andre kommercielle enheder, der ikke er omfattet af reglerne i EO 14086 (executive order), som er en lov fra USA, der omhandler regler for privacy og borgerrettigheder særligt med henblik på mulighed for at klage over databehandling fra amerikanske myndigheder.
”Kommissionen bør yderligere vurdere og overvåge denne særlige form for regeringsadgang og dens praktiske anvendelsestilfælde,” skriver Talus.
EDPB ser nu frem til EU-Kommissionens næste vurdering af DPF om tre år.