Ny tilstrækkelighedsvurdering af dataoverførselsaftalen EU-U.S. Data Protection Framework
Den 10. juli 2023 vedtog EU-Kommissionen en afgørelse om tilstrækkeligheden af beskyttelsesniveauet for overførsler af personoplysninger fra EU til USA ved brug af den nye dataoverførselsaftale. Det såkaldte EU-U.S. Data Privacy Framework (“EU-U.S. DPF”). Det indebærer, at personoplysninger nu kan overføres fra EU til amerikanske virksomheder, der deltager i EU-U.S. DPF, uden at have et overførselsgrundlag i GDPR art. 46.
Mange organisationer inden for EU/EØS har efter EU-Domstolens tilsidesættelse af EU-US-Privacy Shield-ordningen i den såkaldte Schrems II-sag tilbage i juli 2020, været tøvende med eller helt afholdt sig fra at indgå samarbejder med leverandører, som anvender amerikanskejede tjenesteleverandører som underdatabehandlere. De kan nu ånde lettet op.
Med tilstrækkelighedsafgørelsen kan der overføres personoplysninger fra EU/EØS til organisationer i USA, som fremgår af ’Data Privacy Framework List’, uden at tilvejebringe et overførselsgrundlag i GDPR art. 46.
Det betyder, at det ikke længere er nødvendigt at etablere effektive supplerende foranstaltninger for overførsler baseret på tilstrækkelighedsafgørelsen i relation til de certificerede organisationer. Med andre ord kan overførsler til disse organisationer håndteres på samme måde som overførsler af personoplysninger inden for EU.
Den nye aftale imødekommer de kritikpunkter, som EU-domstolen fremførte i forbindelse med Schrems II-sagen. Herunder at amerikanske efterretningstjenester kun kan få adgang til persondata i det omfang, at det er nødvendigt og forholdsmæssigt for at beskytte den nationale sikkerhed. Derudover er der etableret en uafhængig 2.-instans klagemekanisme til at håndtere klager fra EU-borgere angående amerikanske efterretningstjenesters adgang til og brug af deres persondata.
Virksomheder som Google, Amazon og Microsoft er allerede blevet certificerede under den nye dataoverførselsaftale mellem USA og EU, og dermed er der åbnet op for, at virksomheder og myndigheder inden for EU igen kan bruge programmer som Google Analytics og clouds med et moderselskab i USA.
Listen “Data Privacy Framework List”, er en liste over certificerede organisationer. Listen opdateres løbende.
Hvordan kan man overføre personoplysninger til ikke-certificerede virksomheder
Tilstrækkelighedsafgørelsen kan dog alene anvendes som overførselsgrundlag, når man ønsker at overføre personoplysninger til organisationer i USA, der har certificeret sig under EU-U.S. Data Privacy Framework hos det amerikanske handelsministerium.
Overførsler til organisationer i USA, der ikke er certificerede efter EU-U.S. DPF, kan ikke ske på baggrund af tilstrækkelighedsafgørelsen. Det vil her være nødvendigt at etablere et overførselsgrundlag i GDPR art. 46 samt foretage en vurdering af beskyttelsesniveauet i tredjelandet og behovet for eventuelle supplerende sikkerhedsforanstaltninger.
Hvis organisationen i USA er en databehandler, der gør brug af underdatabehandlere, som ikke fremgår af ‘Data Privacy Framework List’, gælder tilstrækkelighedsafgørelsen ikke i forhold til disse underdatabehandlere. Der vil for sådanne videreoverførsler skulle etableres et nyt overførelsesgrundlag og eventuelt fastsættes effektive supplerende foranstaltninger for at opnå et beskyttelsesniveau svarende til det i EU/EØS.
I praksis indebærer dette, at virksomheder inden for EU fortsat skal indgå EU-Kommissionens Standardkontraktbestemmelser (SCC’er) og udarbejde Transfer Impact Assessments (TIA’s) som en betingelse for at overføre personoplysninger, såfremt modtagerorganisationen i USA ikke har certificeret sig efter EU-U.S. DPF.
De garantier, som den amerikanske regering har indført i forbindelse med amerikanske efterretningstjenesters adgang til og brug af personoplysninger overført fra EU/EØS, gælder dog for alle overførsler af personoplysninger til USA, uanset valg af overførselsgrundlag. Ved vurderingen af, om det valgte overførselsgrundlag sikrer en effektiv beskyttelse, kan dataeksportører således inddrage EU-Kommissionens analyse af amerikansk lovgivning og praksis i deres vurdering.
Schrems III?
Flere kritikere, herunder NOYB anført af Max Schrems, har allerede udtalt, at EU-U.S. DPF ikke vil være tilstrækkelig til at sikre EU-borgernes grundlæggende ret til privatliv, og at de agter at anlægge sag ved EU-domstolen for at få prøvet den nye Dataoverførselsaftale mellem USA og EU.
Hvorvidt EU-domstolen for tredje gang vil underkende en af EU-kommissionen godkendt dataoverførselsaftale henstår i det uvisse, men ikke desto mindre udgør EU-U.S. DPF et gyldigt overførselsgrundlag overførsel af personoplysninger til USA indtil videre til glæde for mange organisationer på tværs af EU/EØS og USA.
Fra de tidligere domme, hvor henholdsvis Safe Habour og Privacy Shield er vurderet ugyldige, er aftalerne opsagt med øjeblikkelig virkning. Man skal derfor også med den nye dataoverførselsaftale være forberedt på, at det hurtigt kan blive nødvendigt med en erstatningsløsning, hvis dataoverførselsaftalen bliver kendt ugyldig.
Det er derfor bl.a. en god idé at have en procedure, hvor standardkontrakter hurtigt kan blive etableret samt en exit-strategi for leverandøren, hvis det bliver ulovligt at benytte leverandøren pga. dataoverførsler til USA.
CLEMENS følger udviklingen tæt og vil løbende holde jer opdateret på de seneste nyheder.
Overfører din virksomhed personoplysninger til lande eller internationale organisationer udenfor EU/EØS, og er du i tvivl om, hvorvidt dette sker på et lovligt grundlag, så tag endelig fat i CLEMENS persondatateam.
