Ny afgørelse om overførsel af personoplysninger til USA

Vi har tidligere omtalt afgørelsen, da den var undervejs i vedtagelsesprocessen. Læs den tidligere nyhed her

Amerikanske organisationer skal certificeres og overholde forpligtelser

De amerikanske organisationer, der vælger at certificere sig, skal som led heri overholde en række databeskyttelsesretlige forpligtelser. Organisationerne skal blandt andet sikre, at personoplysninger beskyttes på et niveau svarende til beskyttelsesniveauet i GDPR – altså den europæiske lovgivning, som vi også er underlagt her i Danmark.

Amerikanerne har desuden foretaget få justeringer i de amerikanske regler om de registreredes rettigheder. Dette har ført til, at EU Kommissionen nu mener, at USA tilbyder et tilstrækkeligt beskyttelsesniveau.

Aftalen gælder kun for overførsler til USA

Det er vigtigt at være opmærksom på, at den nye aftale alene dækker overførsel af personoplysninger til USA. Overførsel til andre usikre tredjelande er altså ikke omfattet af aftalen.

Hvis din organisation f.eks. anvender en amerikansk cloudløsning, kan der overføres data til USA, hvis den amerikanske leverandør fremgår af listen fra det amerikanske handelsministerium, men aftalen dækker altså ikke overførsel af data til eventuelle underdatabehandlere i andre tredjelande.

Aftalen vil formentlig blive udfordret – igen

Det er den tredje aftale mellem EU og USA om overførsel af data inden for en kortere årrække. De to første gange er aftalerne efterfølgende blevet erklæret ugyldige af EU-Domstolen. Og den tredje aftale vil med al sandsynlighed også skulle en tur forbi EU-Domstolen.

Max Schrems, der er manden bag de tidligere søgsmål, som har ført til de såkaldte ”Schrems-domme”, har allerede meddelt offentligt, at han også vil udfordre den nye afgørelse fra EU Kommissionen. Men indtil der eventuelt måtte blive afsagt en ny dom om tilsidesættelse af EU-U.S. Data Protection Framework, er det dermed blevet lidt lettere at overføre personoplysninger til USA.

HjulmandKaptain anbefaler

Med den nye tilstrækkelighedsafgørelse kan mange organisationer måske ånde lettet op, når det kommer til at overføre personoplysninger til USA. HjulmandKaptain anbefaler dog, at både private og offentlige organisationer alligevel nøje overvejer eventuelle overførsler af personoplysninger til USA. Det skyldes, at både databeskyttelseseksperter i hele EU og EDPB (European Data Protection Board), der består af alle Datatilsyn i EU, har udtalt sig kritisk om aftalen bag tilstrækkelighedsafgørelsen. Budskabet herfra har været, at aftalen ikke er god nok og ikke løser de udfordringer, som EU-Domstolen har påpeget i Schrems II-dommen. Der er derfor også en reel risiko for, at den nye aftale bliver dømt ugyldig, ligesom de to foregående.

Hvis din organisation vælger at overføre personoplysninger til USA, anbefaler vi derfor, at du også udarbejder en exit-strategi, så din organisation er forberedt, hvis overførslen pludselig viser sig at være ulovlig.

Derudover er det selvfølgelig vigtigt, at du forholder dig til, om den organisation, du vil overføre data til, herunder alle eventuelle underdatabehandlere, har certificeret sig hos det amerikanske handelsministerium. Hvis ikke det er tilfældet, skal du fortsat behandle overførslen som om, at den sker til et usikkert tredjeland. Det vil sige, at der skal udarbejdes en særlig vurdering (TIA - Transfer Impact Assessment) af de risici, som overførslen medfører.

Du finder listen over certificerede amerikanske organisationer her

Lad HjulmandKaptains specialister i databeskyttelse hjælpe dig

Hvis du har spørgsmål til ovenstående eller til håndteringen af tredjelandsoverførsler generelt, så er du altid velkommen til at kontakte vores specialister i databeskyttelse. Vi står klar til at hjælpe dig og din organisation.