Written by
Er tredje gang lykkens gang?
Usikkerhederne ved overførsel af personoplysninger fra EU-medlemsstater til USA er igen lagt til ro med EU-Kommissionens seneste tilstrækkelighedsafgørelse.
Written by
Elsebeth Aaes-Jørgensen
Tobias Bessing
Ved EU-Domstolens afgørelse i Schrems II-sagen i juli 2020 blev EU og USA’s Privacy-Shield-ordning kendt ugyldig som grundlag for overførsel af personlysninger fra EU til USA. Siden har der mellem EU og USA været arbejdet på, hvordan en ordning, der sikrer et tilstrækkeligt beskyttelsesniveau for EU-borgeres personoplysninger ved overførsel til USA, kunne se ud. I juli 2023 traf EU-Kommissionen en længe ventet afgørelse om, at de rammer, der nu er aftalt mellem EU og USA, lever op til betingelsen om et tilstrækkeligt beskyttelsesniveau.
Den nye aftale, der kaldes EU-U.S. Data Privacy Framework (DPF), er tredje forsøg på at etablere en ordning, der sikrer et tilstrækkeligt beskyttelsesniveau ved overførsel af personoplysninger til USA. I praksis betyder EU-Kommissionens afgørelse, at eksempelvis internationale virksomheder igen kan overføre personoplysninger om virksomhedens medarbejdere fra EU til USA, uden at skulle anvende EU-Kommissionens standardbestemmelser eller bindende virksomhedsregler (Binding Corporate Rules).
Ønsker en virksomhed at gøre brug af DPF som overførselsgrundlag, kræver det, at virksomheden certificerer sig under DPF hos det amerikanske handelsministerium. Certificeringen indebærer, at virksomheden skal leve op til en række standarder på databeskyttelsesområdet. DPF gælder derfor kun i forhold til de virksomheder, der er blevet certificeret. Listen over de certificerede virksomheder findes here.
DPF indebærer, at amerikanske myndigheder kun kan få adgang til overførte personoplysninger i det omfang, det er nødvendigt og proportionalt, fx når det er af interesse for den amerikanske nationale sikkerhed. Et væsentligt element i DPF er også, at der er oprettet en klageadgang for EU-borgere, hvis personoplysninger er overført, hvor fx selve overførslen og dens omfang kan efterprøves.
Aftalens rækkevidde
Medieomtale af DPF har foranlediget Datatilsynet til at understrege, at tilstrækkelighedsafgørelsen i forhold til DPF ikke betyder, at der generelt er givet carte blanche til brugen af værktøjer som Google Analytics. Ud over at en organisation skal være registreret på listen over certificerede virksomheder for at DPF kan benyttes som overførselsgrundlag, skal virksomheder i EU nemlig stadig gøre sig alle de sædvanlige grundlæggende databeskyttelsesretlige overvejelser om behandlingshjemmel, formål etc.
Så selvom tredjelandsoverførsler fortsat kræver grundig omtanke, medfører den nye tilstrækkelighedsafgørelse, at der igen er etableret et generelt grundlag for overførsler af personoplysninger til USA.
Norrbom Vinding bemærker
- at tilstrækkelighedsafgørelsen og DPF alene finder anvendelse på de organisationer, der fremgår af den afgrænsede liste, og
- at det bliver interessant at følge, hvordan klageadgangen kommer til at fungere i praksis.
Indholdet i ovenstående nyhedstekst er ikke og kan ikke erstatte juridisk rådgivning.