EU – U.S. Data Privacy Framework (DPF) - Praktikken
Først skal der ske afdækning af alle behandlingsaktiviteter med overførsel af personoplysninger til USA i data-behandlerkæden. Både dataansvarlige og databehandlere skal afdække disse, uanset om overførslen sker til en dataansvarlig eller en (under)databehandler.
DPF udgør et grundlag for overførsler til virksomheder i USA. Hvis en databehandlerkæde – ud over overførsel til USA – har videreoverførsler til usikre tredjelande, skal det overvejes, hvordan kapitel V i GDPR opfyldes for hele kæden.
2. Er U.S.-importøren tilmeldt DPF?
DPF må kun anvendes af tilmeldte U.S.-virksomheder, se oversigten her: DPF participant search.
Virksomheder tilmeldt Privacy Shield kan i en overgangs- periode på tre måneder (17. juli – 17. oktober 2023) op- datere referencer i privacy policies til DPF og GDPR. Så snart referencerne er opdateret i privacy policies, kan DPF anvendes som overførselsgrundlag.
DPF-virksomheder skal årligt selv-certificere til DPF- principperne.
3. TIA’er og supplerende foranstaltninger
Der skal ikke laves TIA ved DPF-overførsler alene til USA.
Allerede udarbejdede TIA’er for SCC’er kan opdateres med dato for overgang til DPF og skal derefter ikke vedlige- holdes.
Ved databehandlerkæder med videreoverførsler til usikre tredjelande uden for USA, skal det afklares, hvordan kapitel kapitel V i GDPR opfyldes for hele kæden, herunder blandt andet i forhold til opdatering af TIA’er.
4. Eksport til U.S.-databehandlere
De fleste virksomheder eller organisationer, der er ansvar- lige for at håndtere personoplysninger, skal opdatere bilag B i standard databehandleraftale fra Datatilsynet (eller tilsvarende bilag), hvor hele kæden af databehandlere er beskrevet. I bilag B kan der blandt andet angives, hvilket grundlag der anvendes for de enkelte overførsler i kæden, og hvis der skiftes fra SCC til DPF på en bestemt dato, skal der være dokumentation for dette.
Databehandleraftalens Bilag D kan opdateres med klausuler relateret til overholdelse af DPF.
5. Opdatering af privatlivsinformation
Privatlivsinformation til de registrerede skal opdateres med information om det nye overførselsgrundlag. Ifølge Notice Principle skal DPF-virksomheden give de registrerede information om behandlingen ved indsamlingen, og før DPF må anvendes. EU-dataansvarlige kan linke til informationen i deres privatlivspolitik. Den opdaterede version kommunikeres på hjemmesider og andre steder, hvor der indsamles personoplysninger fra de registrerede og andre.
Hvis løbende overførsler til U.S. tidligere er sket på SCC og fremover vil finde sted på grundlag af DPF, skal de registrerede oplyses herom ved overgangen til DPF, så de ved, hvilke rettigheder de har.
6. DPF’s betydning for cloud-tjenester
DPF løser alene problematikken om supplerende foran- staltninger i USA. Brug af cloud-tjenester forudsætter fortsat, at øvrige bestemmelser i GDPR også overholdes. Dataansvarlige skal for eksempel have et behandlings- grundlag for videregivelse af personoplysninger til tje- nestens egne formål mv.
7. Hvad sker der, når DPF indbringes for EU-domstolen?
DPF er gyldigt som overførselsgrundlag, indtil EU-dom- stolen eventuelt måtte nå det modsatte resultat. Det forhold, at DPF indbringes for domstolene af Schrems eller andre, ændrer ikke herpå. Udfaldet af en eventuel sag ved EU-domstolen er usikkert, og afgørelsen kan have lange udsigter. I mellemtiden kan DPF lovligt anvendes.
Vi er klar med assistance
Der er stadig en del dokumentation, der skal udarbejdes og opdateres i forhold til tredjelandsoverførsler, og brug af for eksempel cloud-tjenester - selvom det nye overførselsgrundlag er vedtaget.
Har du brug for rådgivning om internationale overførsler, for eksempel i form af udarbejdelse af TIA'er og udarbejdelse af relevante aftaletillæg, står vi naturligvis klar til at hjælpe.