Jurainfo logo
LUK
Juridiske nyheder Kurser Find juridisk specialist Jobbørs Domme
Om Jurainfo Podcasts Juridiske links Privatlivspolitik Kontakt
Ansøg om en profil Bliv kursusudbyder Bliv jobannoncør
Artikel

Dataoverførselsaftale mellem USA og EU er endelig på plads

Bech-Bruun
02/08/2023
Dataoverførselsaftale mellem USA og EU er endelig på plads
Bech-Bruun logo
EU-Kommissionen netop besluttet, at det såkaldte ”EU-U.S. Data Protection Framework” sikrer et tilstrækkeligt beskyttelsesniveau for overførsel af personoplysninger fra EU til USA. For nu kan organisationer derfor ånde lettet op.

Organisationer på tværs af EU og USA har siden 2022 ventet på, at EU-Kommissionen endeligt skulle godkende den såkaldte EU-U.S. Data Protection Framework (Aftalen).


På et pressemøde den 10. juli 2023 kom den gode nyhed så endelig, hvor EU-kommissær Didier Reynords oplyste, at EU-Kommissionen endeligt har godkendt Aftalen.

Hvad betyder Aftalen i praksis?

Aftalen danner grundlaget for den tilstrækkelighedsafgørelse, som EU-Kommissionen har vedtaget for USA i overensstemmelse med GDPR. Tilstrækkelighedsafgørelsen og Aftalen kan findes her.


Tilstrækkelighedsafgørelsen indebærer, at organisationer omfattet af GDPR kan overføre personoplysninger til USA uden at skulle tilvejebringe et overførselsgrundlag i GDPR artikel 46. Det indebærer i praksis, at organisationer fremadrettet fx hverken skal indgå EU-Kommissionens Standardkontraktbestemmelser eller udarbejde Transfer Impact Assessments (TIA) som en betingelse for at overføre personoplysninger til databehandlere, underdatabehandlere eller dataansvarlige i USA.


Det er dog i stedet en betingelse for at overføre personoplysninger til USA, at modtagerorganisationen har certificeret sig under Aftalen via det amerikanske handelsministerium. Listen over certificerede organisationer kan findes her.


Aftalen vil blandt andet betyde, at tredjelandsproblemstillingen i forhold til Google Analytics og clouds med et moderselskab i USA ikke længere vil gøre sig gældende under forudsætning af, at Google, Amazon, Microsoft og øvrige virksomheder i USA certificerer sig under Aftalen.

Hvad med andre usikre tredjelande og ikke-certificerede organisationer?

Tilstrækkelighedsafgørelsen vedrører alene overførsel af personoplysninger til USA og ikke andre usikre tredjelande, der ikke allerede er underlagt en tilstrækkelighedsafgørelse. I kan se listen over de nuværende sikre tredjelande via Datatilsynets hjemmeside.


Det betyder blandt andet, at overførsler af personoplysninger til fx Kina og Indien fortsat skal underlægges et overførselsgrundlag (fx EU-Kommissionens Standardkontraktbestemmelser) samt en forudgående TIA. Det er dermed blandt andet fortsat vigtigt at være opmærksom på en cloud-leverandørs underleverandører i usikre tredjelande, der ofte omfatter en lang række organisationer i mange forskellige usikre tredjelande.


Samtidig skal organisationer fortsat udarbejde TIA og sikre et overførselsgrundlag, hvis modtagerorganisationen i USA ikke har certificeret sig under Aftalen.

Kan EU-Domstolen underkende Aftalen?

Det er tredje gang, at EU-Kommissionen godkender en dataoverførselsaftale med USA.


Første aftale blev indgået tilbage i 2000, hvor EU-organisationer lovligt kunne overføre personoplysninger til certificerede organisationer under Safe Harbor-ordningen. Denne ordning blev underkendt af EU-Domstolen i 2014 via ”Schrems I-dommen”. Navnet kommer fra den Østrigske aktivist Max Schrems, der også er stifter af bevægelsen None Of Your Business (NOYB).


I 2016 indførte EU-Kommissionen i stedet det såkaldte Privacy Shield Framework, der dog allerede i 2020 blev erklæret ugyldigt at EU-Domstolen via ”Schrems II-dommen”.


NOYB, anført af Max Schrems, har allerede udtalt, at de ikke mener, at Aftalen sikrer et tilsvarende beskyttelsesniveau af personoplysninger overført til USA, som tilfældet er i EU/EEA, herunder som følge af (i) fortsat utilstrækkelig klageadgang, (ii) fortsat uproportioneret indsamling af personoplysninger fra myndigheder i USA via særligt FISA 702, samt (iii) en manglende anerkendelse af, at EU-borgere har tilsvarende rettigheder som amerikanske borgere.


På NOYB’s hjemmeside fremgår det da også, at NOYB vil anlægge en ny sag for EU-Domstolen:


”We have various options for a challenge already in the drawer, although we are sick and tired of this legal ping-pong. We currently expect this to be back at the Court of Justice by the beginning of next year."


Andre myndigheder og organisationer har tilsvarende kritiseret den nye Aftale på trods af, at Aftalen indeholder en lang række forbedringer og garantier sammenlignet med både Safe Harbour-ordningen og Privacy Shield Framework. Det er muligt at læse mere om disse forbedringer samt få svar på andre spørgsmål relateret til Aftalen via EU-Kommissionens Q&A.


På baggrund af NOYB’s udtalelser er det således meget sandsynligt, at vi om et par år ser den tredje Schrems dom (Schrems III). Indtil en eventuel dom falder, kan organisationer dog ånde lettet op og lovligt henholde sig til den nye Aftale som grundlag for overførsel af personoplysninger til USA, hvis modtagerorganisationerne er certificerede.

Skal vi gøre noget internt?

Det er væsentligt, at jeres organisation afspejler Aftalens betydning og retlige virkning via interne og eksterne dokumenter, herunder databehandleraftaler, privatlivspolitikker, retningslinjer for tredjelandsoverførsler, TIA’er og fortegnelser.

Vil du vide mere?

Hos Bech-Bruun er vi specialiserede i de databeskyttelsesretlige regler, herunder overførsel af personoplysninger til tredjelande. Hvis jeres organisation har behov for rådgivning, kan I altid række ud til en af vores specialister på området.

Gå ikke glip af vigtig juridisk viden - Tilmeld dig vores gratis nyhedsservice her →
Har du spørgsmål til dette indlæg, er du mere end velkommen til at kontakte os.
Bech-Bruun logo
København
Gdanskgade 18
2150 Nordhavn
72 27 00 00
72 27 00 27
info@bechbruun.com
Aarhus
Værkmestergade 2
8000 Aarhus C
Gratis Nyhedsservice
Gå ikke glip af vigtig juridisk viden
Vær den første til at modtage relevante juridiske nyheder inden for dine interesseområder
Tilmeld dig nu
Fagligt indhold, der kunne være relevante for dig
Tredjelandsoverførsler og den nye aftale med USA
Jurainfo Exclusive logo
PODCAST
Tredjelandsoverførsler og den nye aftale med USA
Vi sætter fokus på overførsel af personoplysninger til usikre tredjelande, herunder overførsler til USA baseret på den nye aftale mellem EU og USA.
4 år med GDPR
Jurainfo Exclusive logo
PODCAST
4 år med GDPR
Hvordan ligger landet 4 år efter ikrafttrædelsen af Databeskyttelsesforordningen?
Hvornår må du udsende nyhedsbreve og tilbud til dine kunder?
Jurainfo logo
EXCLUSIVE
VIDEO
Hvornår må du udsende nyhedsbreve og tilbud til dine kunder?
Det kræver et markedsføringssamtykke fra dine kunder, hvis du ønsker at udsende nyhedsmail, sms'er eller på anden måde kontakte dem med gode tilbud. Advokat, Torsten Hylleberg, kommer her nærmere ind på hvad du skal være opmærksom på i forbindelse med indhentelse af markedsføringssamtykker.
Artikler, der kunne være relevante for dig
Google nægter tredjepartsadgang til Android Auto: Muligt misbrug af dominerende stilling
Google nægter tredjepartsadgang til Android Auto: Muligt misbrug af dominerende stilling
11/11/2024
Konkurrenceret, EU-ret
Nyt sanktionsregime i EU mod hybride trusler fra Rusland
Nyt sanktionsregime i EU mod hybride trusler fra Rusland
06/11/2024
Compliance, EU-ret
Ret til indsigt i oplysninger på utilsigtet modtager
Ret til indsigt i oplysninger på utilsigtet modtager
11/11/2024
Persondata
Meta giver brugerne flere valgmuligheder
Meta giver brugerne flere valgmuligheder
18/11/2024
Persondata
Kommune får kritik for deres sikkerhedsprocedurer
Kommune får kritik for deres sikkerhedsprocedurer
19/11/2024
Persondata, Compliance
Datatilsynet anmelder Lyngby-Taarbæk Kommune til politiet
Datatilsynet anmelder Lyngby-Taarbæk Kommune til politiet
29/11/2024
Persondata
Jurainfo logo

Jurainfo.dk er landets største juridiske nyhedsside. Her finder du juridiske nyheder, kurser samt ledige juridiske stillinger. Vi hjælper dagligt danske virksomheder med at tilegne sig juridisk viden samt at sætte virksomheder i forbindelse med den rigtige juridiske rådgiver, når de har brug for råd og vejledning.

Jurainfo.dk ApS
CVR-nr. 38375563
Vandtårnsvej 62B, DK-2860 Søborg
(+45) 71 99 01 11
kontakt@jurainfo.dk
Ønsker du at udgive materiale?
2024 © Jurainfo.dk - Juridiske nyheder og arrangementer samlet ét sted