Europaudvalget 2022-23 (2. samling)
EUU Alm.del Bilag 598
Offentligt
2731312_0001.png
Dato:
29. juni 2023
Kontor:
Databeskyttelseskontoret
Sagsbeh: Anna Rosdahl Christian-
sen
Sagsnr.: 2023-793-0196
Dok.:
2862571
NOTAT TIL FOLKETINGETS EUROPAUDVALG
om Kommissionens udkast til gennemførelsesretsakt om tilstrække-
ligheden af beskyttelsesniveauet for personoplysninger overført fra
EU til USA under det nye EU-US Data Privacy Framework
1. Resumé
Kommissionen præsenterede den 13. december 2022 sit første udkast til
gennemførelsesretsakt om tilstrækkeligheden af beskyttelsesniveauet angå-
ende USA (komitésag). Gennemførelsesretsakten er fremsat med hjemmel i
Europa-Parlamentet og Rådets forordning (EU) 2016/679 af 27. april 2016
om beskyttelse af fysiske personer i forbindelse med behandling af person-
oplysninger og om fri udveksling af sådanne oplysninger (databeskyttelses-
forordningen). Forslaget vil indebære, at personoplysninger uden specifik
godkendelse kan overføres fra EU til certificerede amerikanske virksomhe-
der. Sagen har været behandlet i den såkaldte Artikel 93-Komité, hvor re-
præsentanter fra medlemsstaternes regeringer deltager. Forslaget drøftes
og sættes forventeligt til afstemning på et møde i Artikel 93-Komitéen primo
juli 2023. Kommissionens endelige vedtagelse af afgørelsen kan forventes
truffet i juli 2023. En vedtagelse af forslaget skønnes at have en positiv ind-
virkning for erhvervslivet og registrerede personer, idet beskyttelsesni-
veauet, som sikres, når personoplysninger overføres til amerikanske virk-
somheder, vurderes i det væsentlige at svare til beskyttelsesniveauet i EU.
Regeringen agter derfor at stemme for Kommissionens forslag.
2. Baggrund
Når personoplysninger ønskes overført til et tredjeland (lande uden for
EU/EØS) skal dataeksportøren (den der fører personoplysningerne ud af
Side 1/8
 EUU, Alm.del - 2022-23 (2. samling) - Bilag 598: Notat om komitésag om tilstrækkeligheden af beskyttelsesniveauet for personoplysninger overført fra EU til USA
EU/EØS) iagttage de databeskyttelsesretlige regler om tredjelandsoverførs-
ler. Efter disse regler skal en overførsel være baseret på et såkaldt overfør-
selsgrundlag, der er det ”instrument”, som skal være på plads, inden oplys-
ninger kan videregives til modtagere i et tredjeland.
Det fremgår af databeskyttelsesforordningens artikel 45, stk. 1, at overførsel
af personoplysninger til et tredjeland kan finde sted, hvis Kommissionen har
fastslået, at tredjelandet har et tilstrækkeligt beskyttelsesniveau. Konse-
kvensen af en afgørelse om et tilstrækkeligt beskyttelsesniveau i USA er
således, at personoplysninger uden specifik godkendelse kan overføres til
de virksomheder i USA, som er omfattet af ordningen, såfremt de behandles
lovligt i EU.
I juli 2020 underkendte EU-Domstolen med Schrems II-dommen Kommis-
sionens tilstrækkelighedsafgørelse, der var baseret på det tidligere Privacy-
Shield vedrørende USA som sikkert tredjeland. EU-Domstolen fandt, at
amerikansk lovgivning gav efterretningstjenesterne for vide beføjelser til at
pålægge virksomheder at udlevere personoplysninger fra EU. Endvidere
fandt EU-Domstolen, at der manglede effektive retsmidler for berørte bor-
gere til at få efterprøvet sådanne indgreb.
Dommen indebærer, at der ikke kan ske overførsel af personoplysninger til
virksomheder i USA under henvisning til, at de pågældende virksomheder
har tilsluttet sig Privacy Shield-ordningen.
Den kommende tilstrækkelighedsafgørelse har således både til formål at
skabe et nyt grundlag for overførsel af personoplysninger fra EU til USA og
imødegå de mangler, som EU-Domstolen konstaterede i Schrems II-afgø-
relsen.
Kommissionen har den 13. december 2022 præsenteret sit første udkast til
gennemførelsesretsakt om tilstrækkeligheden af beskyttelsesniveauet angå-
ende USA (komitésag). Tilstrækkelighedsafgørelsen er baseret på det nye
Data Privacy Framework, og indeholder en certificeringsordning, hvorefter
de virksomheder, der tilslutter sig, kan benytte tilstrækkelighedsafgørelsen
som overførselsgrundlag.
Udkastet skal behandles af komitéen, der er nedsat i henhold til databeskyt-
telsesforordningens artikel 93, stk. 1, og som består af repræsentanter for
medlemsstaternes regeringer (Artikel 93-komitéen).
Side 2/8
 EUU, Alm.del - 2022-23 (2. samling) - Bilag 598: Notat om komitésag om tilstrækkeligheden af beskyttelsesniveauet for personoplysninger overført fra EU til USA
Afgiver Komitéen en positiv udtalelse med kvalificeret flertal, vedtager
Kommissionen forslaget. Afgiver Komitéen en negativ udtalelse med kva-
lificeret flertal, vedtager Kommissionen ikke forslaget, idet Kommissionen
kan forelægge Komitéen et ændret forslag eller kan forelægge forslaget for
appeludvalget, som består af repræsentanter fra EU-landene og har Kom-
missionen som formand. Afgives der ikke nogen udtalelse med kvalificeret
flertal, kan Kommissionen enten vedtage forslaget eller forelægge et ændret
forslag for Komitéen eller forelægge sagen for appeludvalget.
I det omfang sagen forelægges for appeludvalget, og der i den forbindelse
med kvalificeret flertal afgives en negativ udtalelse om udkastet, kan Kom-
missionen ikke vedtage udkastet. Afgiver appeludvalget med kvalificeret
flertal en positiv udtalelse, vedtager Kommissionen udkastet. Afgiver ap-
peludvalget ikke nogen udtalelse med kvalificeret flertal, kan Kommissio-
nen vedtage udkastet.
Forslaget drøftes fortsat i Artikel 93-Komitéen, og forventes sat til afstem-
ning på et møde primo juli 2023.
Forslaget forventes endelig vedtaget af Kommissionen ved udgangen af juli
2023.
3. Formål og indhold
Kommissionens forslag til tilstrækkelighedsafgørelse vil, når den er vedta-
get, indebære, at personoplysninger uden specifik godkendelse kan overfø-
res fra EU til de amerikanske virksomheder, der har tilsluttet sig Data Pri-
vacy Framework.
Tilstrækkelighedsafgørelsen er baseret på det nye Data Privacy Framework,
som er et resultat af forhandlinger mellem Kommissionen og USA, samt en
analyse af amerikansk lov og praksis, herunder særligt Executive Order
14086
’Enhancing Safeguards for US Signals Intelligence Activities’
og
Re-
gulation on the Data Protection Review Court
udstedt af den amerikanske
justitsminister.
Data Privacy Framework bygger på en ordning, hvor virksomheder i USA
frivilligt vælger at tilslutte sig Data Privacy Framework for derved at kunne
gøre brug af tilstrækkelighedsafgørelsen, som Kommissionen træffer, og
som indebærer, at personoplysninger kan overføres fra EU. I det omfang en
Side 3/8
 EUU, Alm.del - 2022-23 (2. samling) - Bilag 598: Notat om komitésag om tilstrækkeligheden af beskyttelsesniveauet for personoplysninger overført fra EU til USA
virksomhed tilslutter sig principperne, forpligter virksomheden sig til at
overholde dem.
De væsentligste forskelle mellem det nye Data Privacy Framework og det
tidligere Privacy Shield er en række begrænsninger i de amerikanske myn-
digheders adgang til at pålægge virksomheder at udlevere personoplysnin-
ger, samt nye klagemuligheder for berørte EU-borgere.
Begrænsningerne og foranstaltningerne vedrørende de amerikanske myn-
digheders adgang til personoplysninger med henblik på strafferetlig hånd-
hævelse og nationale sikkerhedsmål, indebærer bl.a., at enhver sådan brug
af personoplysninger begrænses til det nødvendige og forholdsmæssige til
beskyttelsen af national sikkerhed og ikke må være uproportionelt i forhold
til beskyttelsen af privatliv og frihedsrettigheder i øvrigt.
Derudover vil de amerikanske efterretningstjenester være underlagt tilsyn
med henblik på at sikre overholdelse af sikkerhedsforanstaltningerne.
Endelig indebærer de supplerende sikkerhedsforanstaltninger etablering af
Data Protection Review Court (DPRC), der er en uafhængig klagemeka-
nisme, der vil undersøge og behandle klager fra europæere om amerikanske
myndigheders adgang til deres personoplysninger. Alle klager over behand-
ling af personoplysninger til DPRC gennemgås af tre dommere og assisteres
af en ’Special Advocate’, som skal sikre, at klagers interesser repræsenteres.
4. Europa-Parlamentets udtalelser
Europa-Parlamentet kom den 11. maj 2023 med en beslutning om udkastet
til tilstrækkelighedsafgørelse.
Europa-Parlamentet bemærker, at der ikke er sket tilstrækkelige ændringer
af principperne i databeskyttelsesrammen, der er indført af det amerikanske
handelsministerium, sammenlignet med principperne i Privacy Shield-ord-
ningen, således at der ydes en beskyttelse, der i det væsentlige svarer til den,
der ydes i henhold til databeskyttelsesforordningen.
Herudover udtrykker Europa-Parlamentet bekymring over, at afgørelsen om
tilstrækkeligheden af beskyttelsesniveavet, hvis den vedtages, kan blive un-
derkendt af EU-Domstolen.
Side 4/8
 EUU, Alm.del - 2022-23 (2. samling) - Bilag 598: Notat om komitésag om tilstrækkeligheden af beskyttelsesniveauet for personoplysninger overført fra EU til USA
Europa-Parlamentet opfordrer i sin beslutning Kommissionen til at fortsætte
forhandlingerne med sine amerikanske modparter med henblik på at skabe
en mekanisme, der kan sikre det tilstrækkelige beskyttelsesniveau, der kræ-
ves i henhold til EU’s databeskyttelseslovgivning og chartret som fortolket
af EU-Domstolen, samt at Kommissionen ikke vedtager konstateringen af
et tilstrækkeligt beskyttelsesniveau før henstillingerne i Europa-Parlamen-
tets beslutning og Det Europæiske Databeskyttelsesråds udtalelse af 28. fe-
bruar 2023 er gennemført fuldt ud.
Kommissionen har den 15. juni 2023 fremlagt et revideret forslag til til-
strækkelighedsafgørelse, der indeholder en række uddybninger og præcise-
ringer med henblik på bl.a. at imødekomme de bekymringer, som Europa-
Parlamentet har rejst i sin beslutning.
5. Nærhedsprincippet
Der er tale om en gennemførelsesforanstaltning til en allerede vedtaget rets-
akt. Det er derfor regeringens vurdering, at det følger heraf, at forslagene er
i overensstemmelse med nærhedsprincippet.
6. Gældende dansk ret
Når personoplysninger ønskes overført til et tredjeland (lande uden for
EU/EØS), skal dataeksportøren (den der fører personoplysningerne ud af
EU/EØS) iagttage de databeskyttelsesretlige regler om tredjelandsoverførs-
ler.
Formålet med reglerne om tredjelandsoverførsler er at sikre en tilstrækkelig
beskyttelse af personoplysninger, som forlader EU. Reglerne stiller i den
forbindelse krav om, at videregivelse af personoplysninger til en modtager
i et tredjeland skal være baseret på et overførselsgrundlag, der er det ”in-
strument”, som skal være på plads, inden personoplysninger kan overføres
til et tredjeland. Hensigten er, at overførselsgrundlaget skal yde de fornødne
garantier for beskyttelsen af de overførte oplysninger.
Databeskyttelsesforordningens regler om tredjelandsoverførsler fremgår af
forordningens kapitel V om overførsler af personoplysninger til tredjelande
eller internationale organisationer.
For så vidt angår de tilgængelige overførselsgrundlag opererer databeskyt-
telsesforordningen med tre muligheder.
Side 5/8
 EUU, Alm.del - 2022-23 (2. samling) - Bilag 598: Notat om komitésag om tilstrækkeligheden af beskyttelsesniveauet for personoplysninger overført fra EU til USA
2731312_0006.png
For det første fremgår det af databeskyttelsesforordningens artikel 45, stk.
1, at overførsel af personoplysninger til et tredjeland kan finde sted, hvis
Kommissionen har fastslået, at tredjelandet har et tilstrækkeligt beskyttel-
sesniveau. Kommissionen skal ved vurderingen af beskyttelsesniveauets til-
strækkelighed bl.a. tage elementerne i artikel 45, stk. 2, litra a
litra c, i
betragtning.
Kommissionen træffer beslutning om beskyttelsesniveauet ved en gennem-
førelsesretsakt. Gennemførelsesretsakten vedtages efter undersøgelsespro-
ceduren i databeskyttelsesforordningens artikel 93, stk. 2, jf. artikel 5 i for-
ordning (EU) nr. 182/2022, hvilket bl.a. vil sige, at beslutningen skal træffes
på grundlag af en udtalelse, som afgives af en Komité, der er nedsat i hen-
hold til forordningens artikel 93, stk. 1, og som består af repræsentanter for
medlemsstaternes regeringer.
I fraværet af en tilstrækkelighedsafgørelse kan overførslen baseres på et af
de opregnede instrumenter i forordningens artikel 46 om fornødne garantier,
herunder kontraktbestemmelser, som skal sikre passende databeskyttelses-
garantier, herunder rettigheder, der kan håndhæves i forhold til de berørte
borgeres personoplysninger.
Endelig indeholder databeskyttelsesforordningens artikel 49 en undtagelses-
bestemmelse, som i visse nærmere angivne situationer giver mulighed for
enkeltstående og ikke-systematiske overførsler til tredjelande.
7. Konsekvenser
Lovgivningsmæssige konsekvenser
Forslaget indebærer ikke ændringer i dansk ret.
Økonomiske konsekvenser
Forslaget vurderes ikke at have statsfinansielle konsekvenser.
Forslaget vurderes at kunne have en positiv erhvervsøkonomisk indvirkning
for erhvervslivet, som vil kunne overføre personoplysninger til virksomhe-
der i USA, der er omfattet af ordningen, uden specifik godkendelse.
Andre konsekvenser og beskyttelsesniveauet
En vedtagelse af forslaget skønnes at have en positiv indvirkning for er-
hvervslivet og registrerede personer, idet beskyttelsesniveauet, som sikres,
Side 6/8
 EUU, Alm.del - 2022-23 (2. samling) - Bilag 598: Notat om komitésag om tilstrækkeligheden af beskyttelsesniveauet for personoplysninger overført fra EU til USA
når personoplysninger overføres til virksomheder i USA, vurderes i det væ-
sentlige at svare til beskyttelsesniveauet i EU.
8. Høring
Forslaget er blevet forelagt Det Europæiske Databeskyttelsesråd, som består
af repræsentanter fra medlemsstaternes datatilsyn og af Den Europæiske
Tilsynsførende for Databeskyttelse.
Det Europæiske Databeskyttelsesråd har en uafhængig og rådgivende rolle
på databeskyttelsesområdet, og afgiver bl.a. udtalelser til Kommissionen
med henblik på vurdering af tilstrækkeligheden af beskyttelsesniveauet i et
tredjeland. Det Europæiske Databeskyttelsesråd fremkom den 28. februar
2023 med sin udtalelse om Kommissionens udkast.
Det Europæiske Databeskyttelsesråd hilser først og fremmest en række for-
bedringer velkommen set i forhold til den tidligere Privacy Shield-ordning.
Rådet fremhæver i den forbindelse særligt forbedringerne i forhold til ind-
førelsen af principperne om nødvendighed og proportionalitet for amerikan-
ske efterretningstjenesters behandling af personoplysninger i forbindelse
med signalindhentning. Derudover er det Rådets opfattelse, at klageadgan-
gen for registrerede i EU er blevet forbedret betydeligt med Data Protection
Review Court set i forhold til den tidligere ordning.
Efter en grundig analyse af Kommissionens udkast til tilstrækkelighedsbe-
slutning bemærker Det Europæiske Databeskyttelsesråd imidlertid, at der
fortsat er en række bekymringer. Bekymringerne vedrører bl.a. de registre-
redes rettigheder, videreoverførsel af personoplysninger fra den oprindelige
modtager og anvendelsesområdet for undtagelserne til Data Privacy
Framework, samt bekymringer vedrørende de amerikanske myndigheders
mulighed for midlertidig masseindsamling af oplysninger, og hvordan Data
Protection Review Court kommer til at fungere i praksis. Det Europæiske
Databeskyttelsesråd anbefaler på den baggrund, at Kommissionen fremlæg-
ger yderligere beviser og forklaringer omkring de rejste spørgsmål.
Kommissionen har den 15. juni 2023 udarbejdet et revideret forslag til til-
strækkelighedsafgørelse, der indeholder en række uddybninger og præcise-
ringer i anledningen af Det Europæiske Databeskyttelsesråds udtalelse.
Side 7/8
 EUU, Alm.del - 2022-23 (2. samling) - Bilag 598: Notat om komitésag om tilstrækkeligheden af beskyttelsesniveauet for personoplysninger overført fra EU til USA
9. Generelle forventninger til andre landes holdninger
Det er Justitsministeriets forventning, at andre EU-lande generelt vil være
positivt stemt over for udkastet til en tilstrækkelighedsafgørelse om USA.
10. Regeringens foreløbige generelle holdning
Regeringen mener, at det er vigtigt, at der skabes et velfunderet og gennem-
analyseret grundlag, der giver juridisk sikkerhed for de virksomheder, der
er involveret i overførsel af data mellem EU og USA. Det bemærkes i den
forbindelse, at personoplysninger, der overføres på baggrund af en tilstræk-
kelighedsafgørelse, stadig skal behandles i overensstemmelse med databe-
skyttelsesforordningens øvrige regler om behandling af personoplysninger.
En tilstrækkelighedsafgørelse vil således alene give mulighed for, at person-
oplysninger kan overføres til tredjelandet uden yderligere specifik godken-
delse.
Betydningen af dataoverførsel er stigende i samhandelen på tværs af græn-
ser og en forudsætning for, at mange europæiske virksomheder kan konkur-
rere på det globale marked. Kommissionens forslag vil derfor kunne give en
enklere, mindre byrdefuld og dermed mere omkostningseffektiv mekanisme
for de europæiske virksomheders dataudveksling. Dette finder regeringen
fornuftigt, og regeringen arbejder på den baggrund for at begrænse digitale
handelshindringer på globalt plan med henblik på, at danske virksomheder
kan udnytte potentialet for vækst og indtjening i den digitale økonomi.
Henset til ovennævnte fordele ved forslaget agter regeringen at støtte Kom-
missionens forslag.
11. Tidligere forelæggelse for Folketingets Europaudvalg
Sagen har ikke tidligere været forelagt Folketingets Europaudvalg. Folke-
tingets Europaudvalg blev dog orienteret om den kommende tilstrække-
lighedsafgørelse i forbindelse med forelæggelsen af rådsmødet for retlige
og indre anliggender den 2. juni 2023.
Side 8/8