Jurainfo logo
LUK
Juridiske nyheder Kurser Find juridisk specialist Jobbørs Domme
Om Jurainfo Podcasts Juridiske links Privatlivspolitik Kontakt
Ansøg om en profil Bliv kursusudbyder Bliv jobannoncør
Artikel

Dataoverførselsaftale mellem USA og EU er endelig på plads

Bech-Bruun
02/08/2023
Dataoverførselsaftale mellem USA og EU er endelig på plads
Bech-Bruun logo
EU-Kommissionen netop besluttet, at det såkaldte ”EU-U.S. Data Protection Framework” sikrer et tilstrækkeligt beskyttelsesniveau for overførsel af personoplysninger fra EU til USA. For nu kan organisationer derfor ånde lettet op.

Organisationer på tværs af EU og USA har siden 2022 ventet på, at EU-Kommissionen endeligt skulle godkende den såkaldte EU-U.S. Data Protection Framework (Aftalen).


På et pressemøde den 10. juli 2023 kom den gode nyhed så endelig, hvor EU-kommissær Didier Reynords oplyste, at EU-Kommissionen endeligt har godkendt Aftalen.

Hvad betyder Aftalen i praksis?

Aftalen danner grundlaget for den tilstrækkelighedsafgørelse, som EU-Kommissionen har vedtaget for USA i overensstemmelse med GDPR. Tilstrækkelighedsafgørelsen og Aftalen kan findes her.


Tilstrækkelighedsafgørelsen indebærer, at organisationer omfattet af GDPR kan overføre personoplysninger til USA uden at skulle tilvejebringe et overførselsgrundlag i GDPR artikel 46. Det indebærer i praksis, at organisationer fremadrettet fx hverken skal indgå EU-Kommissionens Standardkontraktbestemmelser eller udarbejde Transfer Impact Assessments (TIA) som en betingelse for at overføre personoplysninger til databehandlere, underdatabehandlere eller dataansvarlige i USA.


Det er dog i stedet en betingelse for at overføre personoplysninger til USA, at modtagerorganisationen har certificeret sig under Aftalen via det amerikanske handelsministerium. Listen over certificerede organisationer kan findes her.


Aftalen vil blandt andet betyde, at tredjelandsproblemstillingen i forhold til Google Analytics og clouds med et moderselskab i USA ikke længere vil gøre sig gældende under forudsætning af, at Google, Amazon, Microsoft og øvrige virksomheder i USA certificerer sig under Aftalen.

Hvad med andre usikre tredjelande og ikke-certificerede organisationer?

Tilstrækkelighedsafgørelsen vedrører alene overførsel af personoplysninger til USA og ikke andre usikre tredjelande, der ikke allerede er underlagt en tilstrækkelighedsafgørelse. I kan se listen over de nuværende sikre tredjelande via Datatilsynets hjemmeside.


Det betyder blandt andet, at overførsler af personoplysninger til fx Kina og Indien fortsat skal underlægges et overførselsgrundlag (fx EU-Kommissionens Standardkontraktbestemmelser) samt en forudgående TIA. Det er dermed blandt andet fortsat vigtigt at være opmærksom på en cloud-leverandørs underleverandører i usikre tredjelande, der ofte omfatter en lang række organisationer i mange forskellige usikre tredjelande.


Samtidig skal organisationer fortsat udarbejde TIA og sikre et overførselsgrundlag, hvis modtagerorganisationen i USA ikke har certificeret sig under Aftalen.

Kan EU-Domstolen underkende Aftalen?

Det er tredje gang, at EU-Kommissionen godkender en dataoverførselsaftale med USA.


Første aftale blev indgået tilbage i 2000, hvor EU-organisationer lovligt kunne overføre personoplysninger til certificerede organisationer under Safe Harbor-ordningen. Denne ordning blev underkendt af EU-Domstolen i 2014 via ”Schrems I-dommen”. Navnet kommer fra den Østrigske aktivist Max Schrems, der også er stifter af bevægelsen None Of Your Business (NOYB).


I 2016 indførte EU-Kommissionen i stedet det såkaldte Privacy Shield Framework, der dog allerede i 2020 blev erklæret ugyldigt at EU-Domstolen via ”Schrems II-dommen”.


NOYB, anført af Max Schrems, har allerede udtalt, at de ikke mener, at Aftalen sikrer et tilsvarende beskyttelsesniveau af personoplysninger overført til USA, som tilfældet er i EU/EEA, herunder som følge af (i) fortsat utilstrækkelig klageadgang, (ii) fortsat uproportioneret indsamling af personoplysninger fra myndigheder i USA via særligt FISA 702, samt (iii) en manglende anerkendelse af, at EU-borgere har tilsvarende rettigheder som amerikanske borgere.


På NOYB’s hjemmeside fremgår det da også, at NOYB vil anlægge en ny sag for EU-Domstolen:


”We have various options for a challenge already in the drawer, although we are sick and tired of this legal ping-pong. We currently expect this to be back at the Court of Justice by the beginning of next year."


Andre myndigheder og organisationer har tilsvarende kritiseret den nye Aftale på trods af, at Aftalen indeholder en lang række forbedringer og garantier sammenlignet med både Safe Harbour-ordningen og Privacy Shield Framework. Det er muligt at læse mere om disse forbedringer samt få svar på andre spørgsmål relateret til Aftalen via EU-Kommissionens Q&A.


På baggrund af NOYB’s udtalelser er det således meget sandsynligt, at vi om et par år ser den tredje Schrems dom (Schrems III). Indtil en eventuel dom falder, kan organisationer dog ånde lettet op og lovligt henholde sig til den nye Aftale som grundlag for overførsel af personoplysninger til USA, hvis modtagerorganisationerne er certificerede.

Skal vi gøre noget internt?

Det er væsentligt, at jeres organisation afspejler Aftalens betydning og retlige virkning via interne og eksterne dokumenter, herunder databehandleraftaler, privatlivspolitikker, retningslinjer for tredjelandsoverførsler, TIA’er og fortegnelser.

Vil du vide mere?

Hos Bech-Bruun er vi specialiserede i de databeskyttelsesretlige regler, herunder overførsel af personoplysninger til tredjelande. Hvis jeres organisation har behov for rådgivning, kan I altid række ud til en af vores specialister på området.

Gå ikke glip af vigtig juridisk viden - Tilmeld dig vores gratis nyhedsservice her →
Har du spørgsmål til dette indlæg, er du mere end velkommen til at kontakte os.
Fagligt indhold, der kunne være relevante for dig
Tredjelandsoverførsler og den nye aftale med USA
Jurainfo Exclusive logo
PODCAST
Tredjelandsoverførsler og den nye aftale med USA
Vi sætter fokus på overførsel af personoplysninger til usikre tredjelande, herunder overførsler til USA baseret på den nye aftale mellem EU og USA.
Hvornår må du udsende nyhedsbreve og tilbud til dine kunder?
Jurainfo logo
EXCLUSIVE
VIDEO
Hvornår må du udsende nyhedsbreve og tilbud til dine kunder?
Det kræver et markedsføringssamtykke fra dine kunder, hvis du ønsker at udsende nyhedsmail, sms'er eller på anden måde kontakte dem med gode tilbud. Advokat, Torsten Hylleberg, kommer her nærmere ind på hvad du skal være opmærksom på i forbindelse med indhentelse af markedsføringssamtykker.
4 år med GDPR
Jurainfo Exclusive logo
PODCAST
4 år med GDPR
Hvordan ligger landet 4 år efter ikrafttrædelsen af Databeskyttelsesforordningen?
Artikler, der kunne være relevante for dig
Datatilsynet anmelder Lyngby-Taarbæk Kommune til politiet
Datatilsynet anmelder Lyngby-Taarbæk Kommune til politiet
29/11/2024
Persondata
Skærpet regulering af miljømarkedsføring: Nye regler og anbefalinger
Skærpet regulering af miljømarkedsføring: Nye regler og anbefalinger
05/12/2024
E-handel og markedsføring, EU-ret, Øvrige
Tilbudsgivere fra tredjelande kørt ud på et sidespor
Tilbudsgivere fra tredjelande kørt ud på et sidespor
05/12/2024
Udbud, EU-ret
Status på Datatilsynets spørgsmål til Rigspolitiet om brug af ansigtsgenkendelse
Status på Datatilsynets spørgsmål til Rigspolitiet om brug af ansigtsgenkendelse
06/12/2024
Persondata
Pharol mod kommissionen: Retten blåstempler udvidet fortolkning af ulovlig konkurrenceklausul og bødeberegning
Pharol mod kommissionen: Retten blåstempler udvidet fortolkning af ulovlig konkurrenceklausul og bødeberegning
12/12/2024
Konkurrenceret, EU-ret
Ansøgningsprocessen om at blive godkendt som importør af CBAM-varer er forsinket
Ansøgningsprocessen om at blive godkendt som importør af CBAM-varer er forsinket
16/12/2024
EU-ret
Jurainfo logo

Jurainfo.dk er landets største juridiske nyhedsside. Her finder du juridiske nyheder, kurser samt ledige juridiske stillinger. Vi hjælper dagligt danske virksomheder med at tilegne sig juridisk viden samt at sætte virksomheder i forbindelse med den rigtige juridiske rådgiver, når de har brug for råd og vejledning.

Jurainfo.dk ApS
CVR-nr. 38375563
Vandtårnsvej 62B, DK-2860 Søborg
(+45) 71 99 01 11
kontakt@jurainfo.dk
Ønsker du at udgive materiale?
2024 © Jurainfo.dk - Juridiske nyheder og arrangementer samlet ét sted