EUU, Alm.del - 2015-16 - Bilag 550: Notat om komitésag om tilstrækkeligheden af databeskyttelsen, som sikres ved EU-USA privatlivsskjoldet (EU-U.S. Privacy Shield)

Europaudvalget 2015-16
EUU Alm.del Bilag 550
Offentligt

Lovafdelingen

Dato:

Kontor:

Sagsbeh:

Sagsnr.:

Dok.:

19. april 2016

Databeskyttelseskontoret

Nanna Østerrøgild Bødker

2016-790-0073

1935126

NOTAT TIL FOLKETINGETS EUROPAUDVALG

om Kommissionens forslag til gennemførelsesretsakt angående til-

strækkeligheden af databeskyttelsen, som sikres ved EU-USA privat-

livsskjoldet (EU-U.S. Privacy Shield)

Nyt notat

Resumé

Kommissionen har den 29. februar 2016 præsenteret et udkast til gennem-

førelsesretsakt angående tilstrækkeligheden af databeskyttelsen, som sik-

res ved EU-USA privatlivsskjoldet (komitésag). Gennemførelsesretsakten

er fremsat med hjemmel i Europa-Parlamentet og Rådets direktiv

95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbin-

delse med behandling af personoplysninger og om fri udveksling af sådan-

ne oplysninger. Forslaget vil indebære, at personoplysninger uden yderli-

gere godkendelse kan overføres fra EU til virksomheder i USA, som er til-

sluttet det såkaldte privatlivsskjold. Sagen behandles i den såkaldte Artikel

31-Komité, hvor repræsentanter fra medlemsstaternes regeringer deltager.

Forslaget forventes drøftet og eventuelt sat til afstemning på mødet i Arti-

kel 31-Komitéen den 29. april 2016. Kommissionens endelige vedtagelse

af afgørelsen forventes truffet inden udgangen af juni eller juli 2016. En

vedtagelse af forslaget skønnes at have en positiv indvirkning for registre-

rede i EU, idet beskyttelsesniveauet, som sikres, når personoplysninger

overføres til virksomheder i USA, vurderes at være højere, end tilfældet

var ved den tidligere Safe Harbor-ordning. Regeringen agter derfor at

stemme for Kommissionens forslag.

Slotsholmsgade 10

1216 København K.

Telefon 7226 8400

Telefax 3393 3510

www.justitsministeriet.dk

[email protected]

EUU, Alm.del - 2015-16 - Bilag 550: Notat om komitésag om tilstrækkeligheden af databeskyttelsen, som sikres ved EU-USA privatlivsskjoldet (EU-U.S. Privacy Shield)

Baggrund

Kommissionen har den 29. februar 2016 præsenteret et udkast til gennem-

førelsesretsakt angående tilstrækkeligheden af databeskyttelsen, som sikres

ved det såkaldte EU-USA privatlivsskjold (EU-U.S. Privacy Shield) (ko-

mitésag).

Det følger af persondataloven og det bagvedliggende databeskyttelses-

direktiv (direktiv 95/46/EF), at der som udgangspunkt alene må overføres

personoplysninger til et tredjeland (dvs. et land uden for EU og EØS), hvis

dette land sikrer et tilstrækkeligt beskyttelsesniveau.

Kommissionen kan i medfør af databeskyttelsesdirektivet fastslå, at et

tredjeland sikrer et tilstrækkeligt beskyttelsesniveau. Kommissionen fast-

slog ved en beslutning af 26. juli 2000 (2000/520/EF), at virksomheder i

USA, der har tilsluttet sig den såkaldte Safe Harbor-ordning, anses for at

sikre et tilstrækkeligt beskyttelsesniveau.

EU-Domstolen har ved en dom af 6. oktober 2015 (den såkaldte Schrems-

dom) erklæret Kommissionens beslutning af 26. juli 2000 om Safe Harbor-

ordningen ugyldig. EU-Domstolen lagde bl.a. vægt på, at modtagere i

USA af oplysninger fra EU er forpligtet til uden begrænsning at se bort fra

Safe Harbor-principperne, når disse er i modstrid med krav i amerikansk

lovgivning (præmis 85-86), at der ikke foreligger mulighed for effektive

retsmidler, herunder domstolsprøvelse, for de europæiske registrerede

(præmis 89 og 95), at en lovgivning, som på generel vis tillader

opbevaring af samtlige personoplysninger fra samtlige personer, hvis

oplysninger er videregivet fra EU til USA uden nogen form for

differentiering, begrænsing eller undtagelse, ikke er begrænset til det

strengt nødvendige, som er forudsat i EU-retten (præmis 93), og at der til

Kommissionens vedtagelse af en tilstrækkelighedsafgørelse kræves, at

Kommissionen behørigt konstaterer, at det pågældende tredjeland på

baggrund af dets nationale lovgivning eller dets internationale forpligtelser

faktisk sikrer et beskyttelsesniveau af de grundlæggende rettigheder, som i

det væsentlige svarer til det niveau, som er i EU (præmis 73 og 96).

De centrale dele af dommen indebærer, at der ikke kan ske overførsel af

personoplysninger til virksomheder i USA under henvisning til, at de på-

gældende virksomheder har tilsluttet sig Safe Harbor-ordningen.

EUU, Alm.del - 2015-16 - Bilag 550: Notat om komitésag om tilstrækkeligheden af databeskyttelsen, som sikres ved EU-USA privatlivsskjoldet (EU-U.S. Privacy Shield)

Kommissionen har i længere tid gennem forhandlinger med USA arbejdet

på en modernisering af Safe Harbor-ordningen og har i lyset af Schrems-

dommen fortsat arbejdet med at skabe et nyt og sikkert grundlag for over-

førsel af personoplysninger fra EU til USA.

Den 2. februar 2016 meddelte Kommissionen, at man havde opnået et for-

handlingsresultat, som begge parter var enige om.

Kommissionen offentliggjorde den 29. februar 2016 et udkast til en ny til-

strækkelighedsafgørelse, som skal erstatte beslutningen fra juli 2000 (Safe

Harbor-ordningen).

Forslaget behandles i en undersøgelsesprocedure i den såkaldte Artikel 31-

Komité, hvor repræsentanter fra medlemsstaternes regeringer deltager.

Afgiver Komitéen en positiv udtalelse med kvalificeret flertal, vedtager

Kommissionen forslaget. Afgiver Komitéen en negativ udtalelse med kva-

lificeret flertal, vedtager Kommissionen ikke forslaget, idet Kommissionen

kan forelægge Komitéen et ændret forslag eller kan forelægge forslaget for

appeludvalget, som består af repræsentanter fra EU-landene, og har Kom-

missionen som formand. Afgives der ikke nogen udtalelse med kvalificeret

flertal kan Kommissionen enten vedtage forslaget, eller forelægge et æn-

dret forslag for Komitéen eller forelægge sagen for appeludvalget.

Afgiver appeludvalget med kvalificeret flertal en negativ udtalelse om for-

slaget, kan Kommissionen ikke vedtage forslaget. Afgiver appeludvalget

med kvalificeret flertal en positiv udtalelse, vedtager Kommissionen for-

slaget. Afgiver appeludvalget ikke nogen udtalelse med kvalificeret flertal,

kan Kommissionen vedtage forslaget.

Forslaget forventes drøftet og eventuelt sat til afstemning på mødet i Arti-

kel 31-Komitéen den 29. april 2016.

Hvis forslaget ikke sættes til afstemning på dette møde, er det regeringens

forventning, at forslaget bliver sat til afstemning på mødet i Komitéen den

19. maj 2016.

Forslaget forventes endelig vedtaget af Kommissionen inden udgangen af

juni eller juli 2016.

Formål og indhold

EUU, Alm.del - 2015-16 - Bilag 550: Notat om komitésag om tilstrækkeligheden af databeskyttelsen, som sikres ved EU-USA privatlivsskjoldet (EU-U.S. Privacy Shield)

3.1. Indledning

Kommissionens forslag til tilstrækkelighedsafgørelse vil, når den er vedta-

get, indebære, at personoplysninger uden yderligere godkendelse kan over-

føres fra EU til virksomheder i USA, som er tilsluttet det såkaldte privat-

livsskjold.

Tilstrækkelighedsafgørelsen er baseret på det såkaldte privatlivsskjold,

som er resultat af forhandlinger mellem Europa-Kommissionen og USA.

Der er ikke tale om en aftale mellem parterne. Resultatet af forhandlinger-

ne ligger dog til grund for Kommissionens vurdering af beskyttelsesni-

veauet i USA. Resultaterne af forhandlingerne er derfor vedlagt som bilag

til gennemførelsesretsakten.

3.2. Privatlivsskjoldsprincipperne

Systemet bygger på en ordning, hvor virksomheder i USA frivilligt vælger

at tilslutte sig privatlivsskjoldsprincipperne for derved at kunne nyde godt

af den tilstrækkelighedsafgørelse, som Kommissionen træffer, og som in-

debærer, at personoplysninger kan overføres fra EU. I det omfang en virk-

somhed tilslutter sig principperne, forpligter virksomheden sig til at over-

holde dem.

Privatlivsskjoldsprincipperne er vedlagt som bilag til afgørelsen.

De grundlæggende principper, som skal overholdes af de virksomheder,

som tilslutter sig privatlivsskjoldet vedrører oplysning om behandling, den

registreredes valg, ansvarlighed ved videreoverførsel, sikkerhed, integritet

og formålsbegrænsning, indsigt og klageadgang, håndhævelse og ansvar.

3.2.1. Oplysningsprincippet

Privatlivsskjoldsprincipperne indeholder krav om, at en amerikansk virk-

somhed, der ønsker at indføre personoplysninger fra Europa, skal oplyse

de registrerede om bl.a. hvilke oplysninger, der behandles og til hvilket

formål. Oplysningsprincippet er også et grundlæggende princip i europæ-

isk databeskyttelseslovgivning, som bl.a. skal sikre gennemsigtighed for

den registrerede og give den registrerede mulighed for at udøve sine ret-

tigheder.

3.2.2. Princippet om den registreredes valg

EUU, Alm.del - 2015-16 - Bilag 550: Notat om komitésag om tilstrækkeligheden af databeskyttelsen, som sikres ved EU-USA privatlivsskjoldet (EU-U.S. Privacy Shield)

En virksomhed skal give den registrerede mulighed for at vælge, om per-

sonoplysninger om dem kan videregives til andre, eller om oplysninger

kan behandles til andre formål, end det formål, som oplysningerne oprin-

deligt blev indsamlet til.

3.2.3. Princippet om ansvarlighed ved videreoverførsel

Det er vigtigt, at den beskyttelse, som følger af privatlivsskjoldet, følger

med, når personoplysninger videregives til tredjeparter, som ikke har til-

sluttet sig privatlivsskjoldet. Derfor skal den dataansvarlige virksomhed,

som er tilsluttet privatlivsskjoldet, indgå en kontrakt med eventuelle tred-

jeparter, som bl.a. sikrer, at personoplysningerne alene behandles til be-

grænsede formål, og at tredjeparten sikrer det samme beskyttelsesniveau,

som er sikret ved privatlivsskjoldet. Ved videregivelse til den pågældende

tredjepart gælder principperne om oplysning og valg også.

3.2.4. Sikkerhed

Virksomheder skal under hensyntagen til risikoen ved behandlingen tage

rimelige og passende skridt til at forhindre, at personoplysninger bl.a. mis-

bruges, ændres eller destrueres.

3.2.5. Princippet om integritet og formålsbegrænsning

Virksomheder skal sikre, at behandling af personoplysninger er begrænset

til det, som er relevant for formålet med behandlingen og skal sikre, at per-

sonoplysninger ikke bliver behandlet til inkompatible formål. Virksomhe-

der skal endvidere tage rimelige skridt til at sikre, at personoplysninger er

korrekte, ajourførte og fuldstændige.

3.2.6. Indsigt

Den registrerede skal have adgang til indsigt i personoplysninger, som be-

handles om dem hos den amerikanske virksomhed.

3.2.7. Klageadgang, håndhævelse og ansvar

Registrerede i EU skal have tilstrækkelig mulighed for at klage, hvis per-

sonoplysninger om dem behandles i strid med privatlivsskjoldsprincipper-

ne, ligesom det sikres, at eventuelle afgørelser kan håndhæves, og at den

dataansvarlige kan ifalde erstatningsansvar. I den forbindelse er der opret-

tet en række klageadgange bl.a. til de pågældende virksomheder, til ameri-

kanske myndigheder samt europæiske datatilsyn.

USA vil derudover oprette en ny klagemekanisme for EU-borgere på området

for nationale efterretninger i form af en ombudsmand, som er uafhængig af de

EUU, Alm.del - 2015-16 - Bilag 550: Notat om komitésag om tilstrækkeligheden af databeskyttelsen, som sikres ved EU-USA privatlivsskjoldet (EU-U.S. Privacy Shield)

amerikanske nationale sikkerhedsmyndigheder. Ombudsmanden får til opgave

at følge op på klager og forespørgsler fra EU-borgere om national sikkerheds-

adgang og skal oplyse om, hvorvidt de relevante love er blevet overholdt, el-

ler om eventuel manglende overholdelse er afhjulpet.

Europa-Parlamentets udtalelser

Europa-Parlamentet skal ikke udtale sig om Kommissionens forslag. For-

slaget har dog været i høring på et møde i Europa-Parlamentets LIBE-

udvalg den 17. marts 2016, hvor medlemmer af Europa-Parlamentet og in-

teressenter drøftede forslaget med Kommissionen og repræsentanter fra

den amerikanske regering. Der blev ikke på mødet vedtaget en udtalelse

om forslaget, men generelt var der meget stor utilfredshed at spore hos

medlemmerne af udvalget.

Nærhedsprincippet

Der er tale om en gennemførelsesforanstaltning til en allerede vedtaget

retsakt. Det er derfor regeringens vurdering, at det følger heraf, at forsla-

gene er i overensstemmelse med nærhedsprincippet.

Gældende dansk ret

Det fremgår af artikel 25, stk. 6, i databeskyttelsesdirektivet, at Europa-

Kommissionen kan fastslå om et tredjeland sikrer et tilstrækkeligt beskyt-

telsesniveau efter en vurdering af bl.a. tredjelandets nationale lovgivning

og dets internationale forpligtelser. Kommissionen skal i så fald følge den

særlige procedure, som er beskrevet i direktivets artikel 31, stk. 2. Det vil

bl.a. sige, at beslutningen skal træffes på grundlag af en udtalelse, som af-

gives af en Komité, der er nedsat i henhold til direktivets artikel 31, stk. 1,

og som består af repræsentanter for medlemsstaternes regeringer.

Konsekvenser

Lovgivningsmæssige konsekvenser

Forslaget indebærer ikke ændringer i dansk ret.

Økonomiske konsekvenser

Forslaget vurderes ikke at have statsfinansielle konsekvenser.

EUU, Alm.del - 2015-16 - Bilag 550: Notat om komitésag om tilstrækkeligheden af databeskyttelsen, som sikres ved EU-USA privatlivsskjoldet (EU-U.S. Privacy Shield)

Forslaget vurderes at kunne have en positiv erhvervsøkonomisk indvirk-

ning for erhvervslivet, som vil kunne overføre personoplysninger til virk-

somheder i USA uden yderligere godkendelse.

Andre konsekvenser og beskyttelsesniveauet

En vedtagelse af forslaget skønnes at have en positiv indvirkning for regi-

strerede i EU, idet beskyttelsesniveauet, som sikres, når personoplysninger

overføres til virksomheder i USA vurderes at være højere, end tilfældet var

ved den tidligere Safe Harbor-ordning.

Høring

Forslaget er blevet forelagt den såkaldte Artikel 29-gruppe, som består af

repræsentanter fra medlemsstaternes datatilsyn, og som efter databeskyt-

telsesdirektivet har en uafhængig og rådgivende rolle på databeskyttelses-

området. Artikel 29-gruppen fremkom den 13. april 2016 med sin udtalelse

om Kommissionens udkast.

Artikel 29-gruppen konstaterer først og fremmest, at udkastet indeholder

mange og væsentlige forbedringer i forhold til den tidligere Safe Harbor-

ordning. Artikel 29-gruppen peger i den forbindelse særligt på øget trans-

parens, herunder i forhold til lister over organisationer, der er eller har væ-

ret tilsluttet ordningen, og i forhold til, i hvilket omfang oplysninger kan

tilgås af de amerikanske myndigheder af hensyn til national sikkerhed eller

retshåndhævelse. Artikel 29-gruppen er endvidere meget tilfreds med at

have fået oplyst, at alle overførsler af personoplysninger til USA – uanset

hvilket overførselsgrundlag der benyttes – er beskyttet af privatlivs-

skjoldsprincipperne.

Til trods for ovennævnte forbedringer har Artikel 29-gruppen tre store be-

kymringer, som gruppen opfordrer Kommissionen til at finde en passende

løsning på. Det drejer sig for det første om de kommercielle aspekter af af-

talen, hvorefter privatlivsskjoldet ikke indeholder udtrykkelige bestemmel-

ser om sletning. For det andet henviser gruppen til, at privatlivsskjoldets

undtagelser af hensyn til national sikkerhed mv. i aftalens bilag VI ikke

fuldstændigt udelukker, at der fortsat kan ske masseindsamling af vilkårli-

ge personoplysninger. Endelig stiller Artikel 29-gruppen for det tredje

spørgsmålstegn ved, om den kommende ombudsmands-mekanisme –

hvortil EU-borgere i nærmere bestemt omfang kan klage – indeholder til-

strækkelige beføjelser til at kunne fungere effektivt.

EUU, Alm.del - 2015-16 - Bilag 550: Notat om komitésag om tilstrækkeligheden af databeskyttelsen, som sikres ved EU-USA privatlivsskjoldet (EU-U.S. Privacy Shield)

Kommissionens forslag er endvidere blevet forelagt Den Europæiske Til-

synsførende for Databeskyttelse (EDPS), som forventes at udtale sig om

forslaget ultimo april.

Generelle forventninger til andre landes holdninger

Det er ikke på nuværende tidspunkt klart, om der vil være et kvalificeret

flertal for eller i mod en udtalelse om forslaget på mødet i Artikel 31-

Komitéen den 29. april 2016.

10. Regeringens foreløbige generelle holdning

Regeringen mener, at det er vigtigt, at der hurtigst muligt bliver skabt et

grundlag, der kan skabe juridisk sikkerhed for de virksomheder, der er in-

volveret i overførelse af data mellem EU og USA. Kommissionens forslag

vil kunne give en enklere, mindre byrdefuld og dermed mere omkost-

ningseffektiv mekanisme for de europæiske virksomheders dataudveksling

på tværs af Atlanten. Betydningen af dataoverførelse er stigende i samhan-

delen på tværs af grænser og en forudsætning for, at mange europæiske

virksomheder kan konkurrere på det globale marked.

Regeringen støtter endvidere principielt initiativer med henblik på at styr-

ke det digitale indre marked ved at fjerne de barrierer, der forhindrer for-

brugerne i at anvende digitale tjenester på tværs af grænser, og virksomhe-

derne i at udbyde disse.

Regeringen skal dog bemærke, at Artikel 29-gruppens udtalelse af 13. april

2016 kan give anledning til visse overvejelser.

Det er regeringens forventning, at Kommissionen på mødet i Artikel 31-

Komitéen den 29. april 2016 vil adressere Artikel 29-gruppens betænke-

ligheder.

Henset til ovennævnte fordele ved forslaget agter regeringen under alle

omstændigheder at støtte Kommissionens forslag.

11. Tidligere forelæggelse for Folketingets Europaudvalg

Sagen har ikke tidligere været forelagt Folketingets Europaudvalg.