Artikel i forbindelse med udsendelse af nyhedsmail onsdag den 9. august 2023.

Med EU-Kommissionens vedtagelse af det nye ”EU-U.S. Data Privacy Framework” (EU-U.S. DPF) d. 10. juli 2023, kan der igen frit overføres personoplysninger fra EU til USA. Beslutningen konkluderer, at USA med det sidste års nye tiltag lever op til EU’s krav til sikkerheden for persondata, der overføres fra EU til de amerikanske virksomheder, der er certificeret under det nye EU-U.S.DPF.

Det nye EU-U.S. DPF er en aftale mellem EU og USA, der fastsætter en række databeskyttelsesretlige forpligtelser, som de organisationer, der certificerer sig under ordningen, skal overholde. Den introducerer nye bindende sikkerhedsforanstaltninger for at imødegå alle de bekymringer, som EU-Domstolen har rejst.

Effekten og overholdelsen af EU-U.S. DPF vil periodisk blive gennemgået af EU-Kommissionen sammen med repræsentanter for europæiske databeskyttelsesmyndigheder og kompetente amerikanske myndigheder. Den første gennemgang vil finde sted inden for et år efter ikrafttrædelsen for at verificere, at alle relevante elementer er fuldt implementeret i USA og fungerer effektivt i praksis. Der vil blive ført (stikprøve) tilsyn med de virksomheder, der er certificeret under EU-U.S. DPF.

Hvad betyder dette i praksis for dig?

Tilstrækkelighedsafgørelsen kan alene anvendes til at overføre personoplysninger til organisationer i USA, der har certificeret sig under EU-U.S. DPF hos det amerikanske handelsministerium. Listen over certificerede organisationer kan findes ved at klikke her.

Det er vigtigt, at du som dataansvarlig holder dig opdateret med dine leverandørers og samarbejdspartneres overførselsgrundlag. Du bør derfor gå ind på linket og undersøge, hvorvidt din leverandør eller samarbejdspartner i USA nu står på listen. Gør de det, vil du frit kunne overføre data til dem uden at opstille yderligere sikkerhedsforanstaltninger. Er din samarbejdspartner eller leverandør ikke på listen, skal du fortsat sikre et andet overførselsgrundlag samt udarbejde en Transfer Impact Assessment (TIA), sådan som du har gjort indtil nu.

EU-U.S. DPF opstiller også krav til videreoverførsler til underdatabehandlere eller andre dataansvarlige. Her skal datamodtageren i USA indgå passende kontrakter med dem, de videreoverfører data til, og de kontrakter skal leve op til kravene i EU-U.S. DPF, afsnit II.3. Vi anbefaler, at du stiller dig kritisk overfor anvendelsen af underdatabehandlere og anmoder om behørig dokumentation, og at denne vurderes mod de krav, som fremgår af afsnit 2.2.6 i Europa-Kommissionens tilstrækkelighedsafgørelse, da du ellers bør overveje lave en TIA.

Hvis din amerikanske datamodtager fungerer som din databehandler, skal du stadig have en databehandleraftale til at regulere forholdet. Det nye framework erstatter ikke databehandleraftalerne – de udgør kun et overførselsgrundlag.

Hvis du allerede har SCCer, der dækker din overførsel til USA, eller hvis du anvender en leverandør, som har fået godkendt et sæt Binding Corporate Rules, kan du også sagtens beholde dem som overførselsgrundlag – de er stadig gyldige og vil fortsat være det – ikke mindst fungerer SCCer nogle gange som databehandleraftaler og skal bevares i den funktion.

Du skal huske at opdatere din GDPR-portal med korrekte overførselsgrundlag samt eventuelle bemærkninger til risikovurderinger. Du skal også som dataansvarlig altid huske at behandle dine data ud fra en risikobaseret tilgang – og huske at dokumentere dette.

Slå koldt vand i blodet

Vi hos GapSolutions vil gøre opmærksom på, at man ikke bør slette alt sit eksisterende arbejde med overførsler til usikre tredjelande. Dette skyldes flere ting, og nedenfor nævnes nogle af dem:

• For det første er det ikke alle virksomheder, der endnu er på listen.
• Dernæst er det vigtigt at kunne dokumentere, at man også tidligere har arbejdet med GDPR i organisationen. Gamle Transfer Impact Assessments er gode at have, hvis en amerikansk organisation pludselig mister sin certificering efter et tilsyn.
• Man skal holde sig for øje, at dette er det tredje forsøg i rækken på at lave en sådan transatlantisk aftale vedrørende behandling af data. De tidligere aftaler, Safe Harbor og Privacy Shield blev underkendt ved EU-dom (Schrems I, 2014 og Schrems II, 2020), og mange databeskyttelsesspecialister forventer at dette også vil ske med denne EU-U.S. Data Privacy Framework, hvorefter vi vil stå tilbage på samme sted som før den 10. juli 2023.
• En af de love (FISA), som tidligere har været et problem ved overførsler til USA, skal revideres til nytår. Dette kan påvirke hele tilstrækkelighedsafgørelsens grundlag.

Vi skal herudover også bemærke, at EU-U.S. DPF ikke løser problematikken med brugen af Facebook, som blandt andet omhandler grænserne for det fælles dataansvar. Det kan til gengæld afhjælpe problematikken vedrørende brugen af Google Analytics ift. tredjelandsoverførsler – her afventer vi en udmelding fra Datatilsynet.

Vi maner til besindighed og omtanke, men vi ser positivt på, at der nu er flere tilgængelige muligheder at benytte, og at det for en stund vil være administrativt lettere at overføre data til USA.

• Vi har opdateret Tjeklisten til vores databehandleraftaler, så den nu afspejler tilstrækkelighedsafgørelsen som overførselsgrundlag.
• Vi opdaterer GDPR-portalen, så det nye framework kommer til at optræde. Det fortæller vi mere om, når løsningen er klar.