Jurainfo logo
LUK
Juridiske nyheder Kurser Find juridisk specialist Jobbørs Domme
Om Jurainfo Podcasts Juridiske links Privatlivspolitik Kontakt
Ansøg om en profil Bliv kursusudbyder Bliv jobannoncør
Artikel

EU – U.S. Data Privacy Framework (DPF) - Praktikken

Kromann Reumert
10/08/2023
EU – U.S. Data Privacy Framework (DPF) - Praktikken
Kromann Reumert logo
Europa-Kommissionen har nu vedtaget Data Privacy Framework (DPF), og mange står over for overvejelser om at overgå fra Standard Contractual Clauses (SCC) til DPF. 1. Identifikation af datakæder

Først skal der ske afdækning af alle behandlingsaktiviteter med overførsel af personoplysninger til USA i data-behandlerkæden. Både dataansvarlige og databehandlere skal afdække disse, uanset om overførslen sker til en dataansvarlig eller en (under)databehandler.


DPF udgør et grundlag for overførsler til virksomheder i USA. Hvis en databehandlerkæde – ud over overførsel til USA – har videreoverførsler til usikre tredjelande, skal det overvejes, hvordan kapitel V i GDPR opfyldes for hele kæden.

2. Er U.S.-importøren tilmeldt DPF?

DPF må kun anvendes af tilmeldte U.S.-virksomheder, se oversigten her: DPF participant search.


Virksomheder tilmeldt Privacy Shield kan i en overgangs- periode på tre måneder (17. juli – 17. oktober 2023) op- datere referencer i privacy policies til DPF og GDPR. Så snart referencerne er opdateret i privacy policies, kan DPF anvendes som overførselsgrundlag.


DPF-virksomheder skal årligt selv-certificere til DPF- principperne.

3. TIA’er og supplerende foranstaltninger

Der skal ikke laves TIA ved DPF-overførsler alene til USA.


Allerede udarbejdede TIA’er for SCC’er kan opdateres med dato for overgang til DPF og skal derefter ikke vedlige- holdes.


Ved databehandlerkæder med videreoverførsler til usikre tredjelande uden for USA, skal det afklares, hvordan kapitel kapitel V i GDPR opfyldes for hele kæden, herunder blandt andet i forhold til opdatering af TIA’er.

4. Eksport til U.S.-databehandlere

De fleste virksomheder eller organisationer, der er ansvar- lige for at håndtere personoplysninger, skal opdatere bilag B i standard databehandleraftale fra Datatilsynet (eller tilsvarende bilag), hvor hele kæden af databehandlere er beskrevet. I bilag B kan der blandt andet angives, hvilket grundlag der anvendes for de enkelte overførsler i kæden, og hvis der skiftes fra SCC til DPF på en bestemt dato,    skal der være dokumentation for dette.


Databehandleraftalens Bilag D kan opdateres med klausuler relateret til overholdelse af DPF.

5. Opdatering af privatlivsinformation

Privatlivsinformation til de registrerede skal opdateres med information om det nye overførselsgrundlag. Ifølge Notice Principle skal DPF-virksomheden give de registrerede information om behandlingen ved indsamlingen, og før DPF må anvendes. EU-dataansvarlige kan linke til informationen i deres privatlivspolitik. Den opdaterede version kommunikeres på hjemmesider og andre steder, hvor der indsamles personoplysninger fra de registrerede og andre.


Hvis løbende overførsler til U.S. tidligere er sket på SCC og fremover vil finde sted på grundlag af DPF, skal de registrerede oplyses herom ved overgangen til DPF, så de ved, hvilke rettigheder de har.

6. DPF’s betydning for cloud-tjenester

DPF løser alene problematikken om supplerende foran- staltninger i USA. Brug af cloud-tjenester forudsætter fortsat, at øvrige bestemmelser i GDPR også overholdes. Dataansvarlige skal for eksempel have et behandlings- grundlag for videregivelse af personoplysninger til tje- nestens egne formål mv.

7. Hvad sker der, når DPF indbringes for EU-domstolen?

DPF er gyldigt som overførselsgrundlag, indtil EU-dom- stolen eventuelt måtte nå det modsatte resultat. Det forhold, at DPF indbringes for domstolene af Schrems eller andre, ændrer ikke herpå. Udfaldet af en eventuel sag ved EU-domstolen er usikkert, og afgørelsen kan have lange udsigter. I mellemtiden kan DPF lovligt anvendes.

Vi er klar med assistance

Der er stadig en del dokumentation, der skal udarbejdes og opdateres i forhold til tredjelandsoverførsler, og brug af for eksempel cloud-tjenester - selvom det nye overførselsgrundlag er vedtaget.


Har du brug for rådgivning om internationale overførsler, for eksempel i form af udarbejdelse af TIA'er og udarbejdelse af relevante aftaletillæg, står vi naturligvis klar til at hjælpe.

Gå ikke glip af vigtig juridisk viden - Tilmeld dig vores gratis nyhedsservice her →
Har du spørgsmål til dette indlæg, er du mere end velkommen til at kontakte os.
Fagligt indhold, der kunne være relevante for dig
Hvornår må du udsende nyhedsbreve og tilbud til dine kunder?
Jurainfo logo
EXCLUSIVE
VIDEO
Hvornår må du udsende nyhedsbreve og tilbud til dine kunder?
Det kræver et markedsføringssamtykke fra dine kunder, hvis du ønsker at udsende nyhedsmail, sms'er eller på anden måde kontakte dem med gode tilbud. Advokat, Torsten Hylleberg, kommer her nærmere ind på hvad du skal være opmærksom på i forbindelse med indhentelse af markedsføringssamtykker.
4 år med GDPR
Jurainfo Exclusive logo
PODCAST
4 år med GDPR
Hvordan ligger landet 4 år efter ikrafttrædelsen af Databeskyttelsesforordningen?
Tredjelandsoverførsler og den nye aftale med USA
Jurainfo Exclusive logo
PODCAST
Tredjelandsoverførsler og den nye aftale med USA
Vi sætter fokus på overførsel af personoplysninger til usikre tredjelande, herunder overførsler til USA baseret på den nye aftale mellem EU og USA.
Artikler, der kunne være relevante for dig
Privat organisation indstilles til bøde på mindst 15 millioner kroner
Privat organisation indstilles til bøde på mindst 15 millioner kroner
01/02/2024
Persondata
Det bør alle gøre lige nu – manglende GDPR-kontrol førte til politianmeldelse og forventet bøde på mindst 1.500.000 kr.
Det bør alle gøre lige nu – manglende GDPR-kontrol førte til politianmeldelse og forventet bøde på mindst 1.500.000 kr.
08/02/2024
Persondata, Kontraktret, Compliance
Et vink med en vognstang om, at der skal føres tilsyn med databehandlere
Et vink med en vognstang om, at der skal føres tilsyn med databehandlere
12/02/2024
Persondata, Compliance
Hvornår har I sidst ført tilsyn med jeres databehandlere?
Hvornår har I sidst ført tilsyn med jeres databehandlere?
20/02/2024
Persondata
Implementeringen af NIS2-direktivet bliver forsinket
Implementeringen af NIS2-direktivet bliver forsinket
20/02/2024
Compliance, EU-ret, Persondata
AI-forordningen er endelig på plads – hvad nu?
AI-forordningen er endelig på plads – hvad nu?
19/02/2024
Persondata, EU-ret
Jurainfo logo

Jurainfo.dk er landets største juridiske nyhedsside. Her finder du juridiske nyheder, kurser samt ledige juridiske stillinger. Vi hjælper dagligt danske virksomheder med at tilegne sig juridisk viden samt at sætte virksomheder i forbindelse med den rigtige juridiske rådgiver, når de har brug for råd og vejledning.

Jurainfo.dk ApS
CVR-nr. 38375563
Vandtårnsvej 62B, DK-2860 Søborg
(+45) 71 99 01 11
kontakt@jurainfo.dk
Ønsker du hjælp til at finde en specialist?
2024 © Jurainfo.dk - Juridiske nyheder og arrangementer samlet ét sted