Genvejsmenu:
S - Indhold
1 - Forside
2 - Nyheder
3 - Oversigt
4 - Søg

EU-U.S. Privacy Shield

Hvornår må man overføre personoplysninger til et tredjeland?
Det følger af persondatalovens § 27, stk. 1, at der som udgangspunkt kun må overføres oplysninger til et tredjeland, hvis dette land sikrer et tilstrækkeligt beskyttelsesniveau.

Efter artikel 25, stk. 6, i direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger kan Kommissionen træffe afgørelse om, hvorvidt et givent tredjeland sikrer et tilstrækkeligt beskyttelsesniveau.

Kommissionen har i forhold til en række lande benyttet sig af ovennævnte mulighed. Se en liste her.

Et af de lande, som Kommissionen har truffet afgørelse om sikrer et tilstrækkeligt beskyttelsesniveau, er USA, for så vidt angår virksomheder m.fl., der har tilsluttet sig det såkaldte EU-U.S. Privacy Shield.

Hvad er EU-U.S. Privacy Shield og hvad indebærer det?
EU-U.S. Privacy Shield er en aftale mellem EU og USA, der bl.a. fastsætter et stærkt sæt af databeskyttelsesregler og sikkerhedsforanstaltninger, som de amerikanske virksomheder der tilslutter sig ordningen er forpligtet til at overholde.

Disse databeskyttelsesregler og sikkerhedsforanstaltninger består bl.a. i regler om 1) løbende kontrol af deltagende virksomheder, 2) snævre rammer for muligheden for videreoverførsel, 3) klare begrænsninger mv. i amerikanske myndigheders mulighed for at tilgå overførte oplysninger, 4) klare regler om sletning mv.

Ønsker man at se Kommissionens tilstrækkelighedsafgørelse og selve EU-U.S. Privacy aftalen kan de findes her

Man kan også læse mere om EU-U.S. Privacy Shield i en mere letlæselig vejledning fra Kommissionen her, samt i en FAQ om EU-U.S. Privacy Shield her.

Privacy Shield-aftalen og Kommissionens tilstrækkelighedsafgørelse indebærer f.eks., at en dansk virksomhed eller myndighed, som udgangspunkt, uden videre vil kunne overføre personoplysninger til en amerikansk virksomhed, der har tilsluttet sig EU-U.S. Privacy Shield. Dog skal Datatilsynets forudgående tilladelse indhentes i visse situationer i medfør af persondatalovens § 50, stk. 2, herunder hvis en privat dataansvarlig ønsker at overføre følsomme personoplysninger som nævnt i lovens § 7 og § 8.

Det har været muligt for amerikanske virksomheder at tilslutte sig EU-U.S. Privacy Shield siden august 2016. Man kan se en liste over tilsluttede virksomheder mv. på følgende hjemmeside, som administreres af det amerikanske handelsministerium: https://www.privacyshield.gov/welcome

De registreredes rettigheder
EU-U.S. Privacy Shield indeholder en del regler om de registreredes rettigheder.

Registrerede har bl.a. ret til at blive informeret om en række forhold fra en Privacy Shield-virksomhed, herunder om typerne af personoplysninger der behandles og om årsagerne til behandlingen, ligesom de registrerede har ret til at få indsigt i, hvilke oplysninger, der behandles om dem. Se mere herom i ovennævnte vejledning fra Kommissionen.

De registreredes muligheder for at klage – når klagen går på en virksomheds manglende efterlevelse af Privacy Shield-reglerne
Hvis en Privacy Shield-virksomhed ikke efterlever Privacy Shield reglerne og dens forpligtelser til at beskytte de registreredes oplysninger, har en registreret ret til at indgive en klage og gøre brug af et retsmiddel.

En registreret har flere muligheder for at klage, nemlig til:

1. Den amerikanske Privacy Shield-virksomhed selv.
2. En uafhængig tvistbilæggelsesordning, som f.eks. et alternativt tvistbilæggelsesorgan eller et datatilsyn i EU.
3. Det amerikanske handelsministerium (gennem det lokale datatilsyn i EU).
4. USA's Federal Trade Commission (eller til det amerikanske transportministerium, hvis klagen angår et flyselskab eller en billetarrangør).
5. Privacy Shield-voldgiftspanel, når alle andre godtgørelsesmuligheder er mislykkedes.

I forhold til punkt 2 ovenfor er det vigtigt at være opmærksom på, at det er op til den amerikanske Privacy Shield-virksomhed at beslutte, om man vil benytte et alternativt tvistbilæggelsesorgan eller et datatilsyn i EU som sin uafhængige tvistbilæggelsesmekanisme. Hvad de enkelte virksomheder har valgt, fremgår af den hjemmeside som administreres af det amerikanske handelsministerium, og som der er et link til ovenfor. Hvis en virksomhed håndterer HR-oplysninger, er det dog obligatorisk, at have et datatilsyn i EU som sin uafhængige tvistbilæggelsesmekanisme.

Ovennævnte betyder bl.a., at en registreret vil kunne indgive en klage til Datatilsynet, hvis 1) der overføres personoplysninger fra Danmark til en Privacy Shield-virksomhed og 2) Privacy Shield-virksomheden har valgt at have et datatilsyn i EU som sin uafhængige tvistbilæggelsesmekanisme, eller der overføres HR-oplysninger til Privacy Shield-virksomheden.

En registreret der ønsker at klage til Datatilsynet kan med fordel anvende følgende klageformular (på engelsk), da det vil lette den videre proces. Klageformular vedr. virksomhed.

De registreredes muligheder for at klage – når klagen angår en amerikansk myndighed
Privacy Shield-aftalen indeholder en ny uafhængig tvistbilæggelsesmekanisme for så vidt angår amerikanske myndigheders behandling af personoplysninger på området for national sikkerhed. Denne ordning kaldes for ”Ombudsmandsordningen”.

Ombudsmandsordningen indebærer bl.a., at en registreret i EU har mulighed for at få prøvet, om en amerikansk myndigheds (f.eks. NSA eller FBI) eventuelle behandling af oplysninger om den pågældende sker under overholdelse af de relevante amerikanske love, eller, hvis lovene er blevet overtrådt, en bekræftelse på, at situationen er blevet afhjulpet. Du kan læse mere om Ombudsmandsordningen på side 9 ff. i Kommissionens vejledning om EU-U.S. Privacy Shield, som der er links til ovenfor.

Hvis en registreret fra Danmark ønsker at klage over en amerikansk myndighed, skal den registrerede sende sin klage til Datatilsynet, som herefter vil sørge for, at klagen bliver videresendt til rette sted. Det skal i den forbindelse bemærkes, at Datatilsynet ved indgivelse af en klage vil verificere klagers identitet.

Ved udarbejdelsen af en klage kan en registreret med fordel anvende følgende klageformular (på engelsk), da det vil lette den videre proces. Klageformular vedr. myndighed.