EU-Kommissionen netop besluttet, at det såkaldte ”EU-U.S. Data Protection Framework” sikrer et tilstrækkeligt beskyttelsesniveau for overførsel af personoplysninger fra EU til USA. For nu kan organisationer derfor ånde lettet op.
Organisationer på tværs af EU og USA har siden 2022 ventet på, at EU-Kommissionen endeligt skulle godkende den såkaldte EU-U.S. Data Protection Framework (Aftalen).
På et pressemøde den 10. juli 2023 kom den gode nyhed så endelig, hvor EU-kommissær Didier Reynords oplyste, at EU-Kommissionen endeligt har godkendt Aftalen.
Hvad betyder Aftalen i praksis?
Aftalen danner grundlaget for den tilstrækkelighedsafgørelse, som EU-Kommissionen har vedtaget for USA i overensstemmelse med GDPR. Tilstrækkelighedsafgørelsen og Aftalen kan findes her.
Tilstrækkelighedsafgørelsen indebærer, at organisationer omfattet af GDPR kan overføre personoplysninger til USA uden at skulle tilvejebringe et overførselsgrundlag i GDPR artikel 46. Det indebærer i praksis, at organisationer fremadrettet fx hverken skal indgå EU-Kommissionens Standardkontraktbestemmelser eller udarbejde Transfer Impact Assessments (TIA) som en betingelse for at overføre personoplysninger til databehandlere, underdatabehandlere eller dataansvarlige i USA.
Det er dog i stedet en betingelse for at overføre personoplysninger til USA, at modtagerorganisationen har certificeret sig under Aftalen via det amerikanske handelsministerium. Listen over certificerede organisationer kan findes her.
Aftalen vil blandt andet betyde, at tredjelandsproblemstillingen i forhold til Google Analytics og clouds med et moderselskab i USA ikke længere vil gøre sig gældende under forudsætning af, at Google, Amazon, Microsoft og øvrige virksomheder i USA certificerer sig under Aftalen.
Hvad med andre usikre tredjelande og ikke-certificerede organisationer?
Tilstrækkelighedsafgørelsen vedrører alene overførsel af personoplysninger til USA og ikke andre usikre tredjelande, der ikke allerede er underlagt en tilstrækkelighedsafgørelse. I kan se listen over de nuværende sikre tredjelande via Datatilsynets hjemmeside.
Det betyder blandt andet, at overførsler af personoplysninger til fx Kina og Indien fortsat skal underlægges et overførselsgrundlag (fx EU-Kommissionens Standardkontraktbestemmelser) samt en forudgående TIA. Det er dermed blandt andet fortsat vigtigt at være opmærksom på en cloud-leverandørs underleverandører i usikre tredjelande, der ofte omfatter en lang række organisationer i mange forskellige usikre tredjelande.
Samtidig skal organisationer fortsat udarbejde TIA og sikre et overførselsgrundlag, hvis modtagerorganisationen i USA ikke har certificeret sig under Aftalen.
Kan EU-Domstolen underkende Aftalen?
Det er tredje gang, at EU-Kommissionen godkender en dataoverførselsaftale med USA.
Første aftale blev indgået tilbage i 2000, hvor EU-organisationer lovligt kunne overføre personoplysninger til certificerede organisationer under Safe Harbor-ordningen. Denne ordning blev underkendt af EU-Domstolen i 2014 via ”Schrems I-dommen”. Navnet kommer fra den Østrigske aktivist Max Schrems, der også er stifter af bevægelsen None Of Your Business (NOYB).
I 2016 indførte EU-Kommissionen i stedet det såkaldte Privacy Shield Framework, der dog allerede i 2020 blev erklæret ugyldigt at EU-Domstolen via ”Schrems II-dommen”.
NOYB, anført af Max Schrems, har allerede udtalt, at de ikke mener, at Aftalen sikrer et tilsvarende beskyttelsesniveau af personoplysninger overført til USA, som tilfældet er i EU/EEA, herunder som følge af (i) fortsat utilstrækkelig klageadgang, (ii) fortsat uproportioneret indsamling af personoplysninger fra myndigheder i USA via særligt FISA 702, samt (iii) en manglende anerkendelse af, at EU-borgere har tilsvarende rettigheder som amerikanske borgere.
På NOYB’s hjemmeside fremgår det da også, at NOYB vil anlægge en ny sag for EU-Domstolen:
”We have various options for a challenge already in the drawer, although we are sick and tired of this legal ping-pong. We currently expect this to be back at the Court of Justice by the beginning of next year."
Andre myndigheder og organisationer har tilsvarende kritiseret den nye Aftale på trods af, at Aftalen indeholder en lang række forbedringer og garantier sammenlignet med både Safe Harbour-ordningen og Privacy Shield Framework. Det er muligt at læse mere om disse forbedringer samt få svar på andre spørgsmål relateret til Aftalen via EU-Kommissionens Q&A.
På baggrund af NOYB’s udtalelser er det således meget sandsynligt, at vi om et par år ser den tredje Schrems dom (Schrems III). Indtil en eventuel dom falder, kan organisationer dog ånde lettet op og lovligt henholde sig til den nye Aftale som grundlag for overførsel af personoplysninger til USA, hvis modtagerorganisationerne er certificerede.
Skal vi gøre noget internt?
Det er væsentligt, at jeres organisation afspejler Aftalens betydning og retlige virkning via interne og eksterne dokumenter, herunder databehandleraftaler, privatlivspolitikker, retningslinjer for tredjelandsoverførsler, TIA’er og fortegnelser.
Vil du vide mere?
Hos Bech-Bruun er vi specialiserede i de databeskyttelsesretlige regler, herunder overførsel af personoplysninger til tredjelande. Hvis jeres organisation har behov for rådgivning, kan I altid række ud til en af vores specialister på området.
Har du spørgsmål til dette indlæg, er du mere end velkommen til at kontakte os.
-medium.jpg)
-medium.jpg)
-medium.jpg)
-medium.jpg)
-medium.jpg)
