Grønt lys til overførsel af personoplysninger fra EU til USA

En GDPR-bom er løftet, og mange organisationer i EU kan nu overføre personoplysninger til USA igen. Årsagen er, at EU Kommissionen har truffet en såkaldt tilstrækkelighedsafgørelse.

Overførsler af personoplysninger fra EU til USA forudsætter efter afgørelsen, at amerikanske modtagere af personoplysninger certificeres under det nye EU-U.S. Data Privacy Framework, hvorefter personoplysninger kan deles sikkert mellem organisationer i EU og USA.

EU Kommissionen har d. 10. juli 2023 afgjort, at USA sikrer et tilstrækkeligt beskyttelsesniveau ved overførsel af personoplysninger fra EU/EØS til USA på linje med beskyttelsesniveauet i EU/EØS.

Hvad er EU-U.S. Data Privacy Framework?

Afgørelsen introducerer det kærkomne EU-U.S. Data Privacy Framework (DPF), som sikrer, at personoplysninger frit kan deles under forudsætning af, at amerikanske modtagere af personoplysninger certificeres under certificeringsordningen, hvorefter EU-organisationer kan dele personoplysninger med certificerede organisationer i USA.

Certificeringsordningen administreres af det amerikanske handelsministerium, U.S. Department of Commerce, og det bliver the U.S. Federal Trade Commission som efterser, at certificeringsordningen overholdes.

Certificeringsordningen introducerer blandt andet en tosidet klageordning, hvor den registrerede, i første omgang, kan klage til ”the Civil Liberties Protection Officer” med mulighed for anke til ”the Data Protection Review Court”. Sidstnævnte består af medlemmer uden for den amerikanske regering, og det er en uafhængig myndighed, som blandt andet har kompetence til at træffe afgørelse om sletning af personoplysninger, hvis amerikanske efterretningstjenester har indsamlet personoplysninger i strid med amerikansk efterretningslovgivning, fx Executive Order 14086, FISA og Executive Order 12333.

Amerikanske modtagere af personoplysninger skal certificere sig selv via Participant Search (dataprivacyframework.gov), hvor det også er muligt at se listen over certificerede organisationer.

Certificeringsordningen indeholder en række ”DPF-principper”, der beskriver, hvordan personoplysninger modtaget fra EU skal behandles mv. Certificeringsordningen pålægger alle certificerede organisationer at overholde principperne og amerikanske organisationer skal blandt andet informere om, at de er certificerede under DPF og linke til listen over aktive certificeringer.

EU-U.S. Data Privacy Framework erstatter den tidligere Privacy Shield-ordning som blev ugyldiggjort i juni 2020.

Hvad betyder det for os

Hvis man som organisation i EU/EØS overfører personoplysninger til USA, er det værd at være opmærksom på, at

• få opdateret sin dokumentation for overførsler af personoplysninger til USA, fx fortegnelsen og privatlivspolitikker, hvis fremtidige overførsler af personoplysninger baseres på EU-U.S. Data Privacy Framework i stedet for fx standardkontraktbestemmelserne (de såkaldte SCC’er).
   
• holde øje med listen over certificerede amerikanske organisationer under DPF. Det samme gælder modtagerens underleverandører (underdatabehandlere). Hvis underdatabehandleren ikke er hjemmehørende i USA, kan DPF ikke bruges. Er der tale om en amerikansk underdatabehandler, skal underdatabehandleren også være certificeret under DPF, hvis personoplysninger skal overføres på baggrund af certificeringsordningen. Alternativet er, at der må identificeres et andet overførselsgrundlag som sikrer den samme beskyttelse.
   
• det stadig er et krav, at der indgås databehandleraftaler og, at der føres tilsyn med sine databehandlere.
   
• Max Schrems og NOYB (den organisation, som Max Schrems står bag) er klar til at udfordre certificeringsordningen, ligesom det var tilfældet med bl.a. Privacy Shield. De forventer, at der ligger en sag hos EU-Domstolen i begyndelsen af næste år (2024).
   
• Datatilsynet i den kommende tid vil opdatere sine vejledninger om Cloud og overførsel af personoplysninger til tredjelande. Vi vil naturligvis holde os orienterede om, hvordan Datatilsynet agerer.
   
• det Europæiske Databeskyttelsesråd (EDPB) i løbet af et par uger vil komme med et informativt notat om DPF-ordningen.

Skal vi stadig udarbejde tredjelandsvurderinger (Transfer Impact Assessments)?

Overførsler af personoplysninger under DPF kan ske frit og sikkert uden brug af yderligere databeskyttelsesforanstaltninger. EU Kommissionens tilstrækkelighedsafgørelse indeholder en vurdering af, hvorvidt USA's lovgivning yder et tilstrækkeligt beskyttelsesniveau, og kravet om en tredjelandsvurdering (også kaldet Transfer Impact Assessment), som følger af Schrems ll, er derfor ikke længere relevant.

Læs mere om EU Kommissionens nyhed om det nye EU-U.S. Data Privacy Framework her: Questions & Answers: EU-US Data Privacy Framework (europa.eu).

Vil du vide mere

Hvis I har spørgsmål til jeres overførsel af personoplysninger til USA, I behov for hjælp til dialog med samarbejdspartnere i USA mv., står vores specialister i databeskyttelse klar til at hjælpe.