EU’s afvisning af Safe Harbor-aftalen medførte usikkerhed om fremtiden blandt virksomheder med datastrømme fra EU til USA. Nu er afløseren, der skal genoprette ro og tryghed, fundet: EU-US Privacy Shield.
Fra Safe Harbor-aftalen til rammeaftalen EU-US Pravacy Shield
Den 6. oktober 2015 bekendtgjorde EU-Domstolen, at Safe Harbor-aftalen (der har sikret, at datastrømme kunne flyde frit mellem EU og USA) var ugyldig, pga. bekymringer for den enkelte EU-borgers retssikkerhed som følge af masseovervågning af virksomheders data i USA.
Siden da har en usikkerhed for fremtiden præget direktionsgangene i internationalt orienterede virksomheder og virksomheder, hvor data i forbindelse med outsourcing, er blevet overført til og opbevaret i USA.
For hvordan skulle datas bevægelighed sikres, så det ikke resulterede i stagnation for europæiske virksomheder. Og hvordan kunne man finde en løsning, der ikke resulterede i et uoverskueligt bureaukrati samtidig med at sikre borgere og virksomheder mod uretmæssig overvågning og spionage?
Hvad er EU-US Privacy Shield?
EU-US Privacy Shield er navnet på Safe Harbors afløser. En ny rammeaftale, der skal sikre, at data igen kan flyde frit mellem EU og USA, men også sikre Europas borgere og virksomheder mod at blive udsat for ubegrundet masseovervågning. For at sikre retssikkerheden stilles der krav til virksomheder, der flytter personoplysninger mellem EU og USA, samtidig med at USA skriftligt har indvilliget i at øge tilsynet med overvågningen af datastrømmene fra EU.
Tilslutning ikke et krav for alle virksomheder
Virksomheder, der ønsker at flytte personfølsomme data ud af EU vil blive pålagt at forpligte sig til rammeaftalens forskrifter for import af persondata fra EU. Desuden forpligter virksomheder, der håndterer HR-specifikke datastrømme fra EU, sig til at overholde de europæiske databeskyttelsesorganers afgørelser.
Fortsat masseovervågning – men måske med måde
Fra USA’s side har man indvilliget i at indføre årlige revisioner af regeringsorganers masseovervågningen af datastrømmene, dvs. borgere og virksomheder. Revisionerne skal udføres af handelskammeret og en uvildig ombudsmand.
Den endelige aftale foreligger endnu ikke, så vi ikke præcist, hvor sikker man kan være på, at det faktisk vil have en effekt. Ideelt set ville den nye aftale sikre mod masseovervågning, men reelt set bliver det nok nærmere til, at der måske vil forekomme mindre masseovervågning. Hos netmediet Version2 er man ikke i tvivl om, hvor det lander henne: Udkastet til den nye rammeaftale er spil fra galleriet og vil ikke sikre mod overvågning.
Det kan virksomheden selv gøre
Jeg kan derfor kun opfordre til, at man som virksomhed sikre sig, at man har helt styr på, hvilke data man har outsourcet uden for EU, og at man begynder at overveje, hvilke data, det ikke er forretningsgavnligt, at andre har adgang til.
Den fulde pressemeddelelse fra Europakommissionen om EU-US Privacy Shield-rammeaftalen findes her.
