Med afgørelsen i Schrems II-sagen har EU-domstolen i sommers underkendt den tidligere aftale om overførsel af persondata til USA – det såkaldte ’Privacy Shield’. Uden denne aftale er det i teorien fortsat muligt, men i realiteten meget svært, at overføre data til lande uden for EU lovligt.
Det europæiske dataråd har omsider udarbejdet en række anbefalinger, som giver en rettesnor for, hvordan disse overførsler kan udføres fremover, men de stort set uanvendelige i praksis.
- Det forekommer meget urealistisk og som en kæmpe byrde at f.eks. en lille danske webshop selv blandt andet skal læse hele den amerikanske, indiske og kinesiske lovgivning igennem og skrive en rapport og vurdering – bare for eksempelvis at kunne sende et kvartalsmæssigt nyhedsbrev ud til deres kunder, siger Sven Petersen, erhvervsjuridisk chef i Dansk Erhverv.
Ingen er tjent med situationen, som den er nu, og EU bør have en ny aftale med USA om dataoverførsler allerøverst på prioriteringslisten på linje med arbejdet for en Brexit-aftale. For det er noget, der påvirker alle virksomheder og myndigheder i hele Europa.
Anbefalinger skal fungere i praksis
Det er i og for sig fint at arbejde for, at datasikkerheden i tredjelande lever op til EU’s standarder, men det sker ikke fra den ene dag til den anden:
- Vi har ikke i dag reelt muligheden for at fravælge dataoverførsler til 3.-lande, og i særdeleshed ikke til USA. Det er derfor meget vigtigt, at EDPB – indtil der foreligger en ny aftale med USA – fremkommer med detaljerede retningslinjer og eksempler, der viser, hvordan tingene skal gøres i praksis, siger Martin Jensen Buch, chefkonsulent i IT-Branchen.
Man risikerer at sætte den digitale udvikling på hold, og det er ikke i nogens interesse. Disse bekymringer er afspejlet i Dansk Erhverv og IT-Branchens høringssvar til EDPB.