Jurainfo logo
LUK
Juridiske nyheder Kurser Find juridisk specialist Jobbørs Domme
Om Jurainfo Podcasts Juridiske links Privatlivspolitik Kontakt
Ansøg om en profil Bliv kursusudbyder Bliv jobannoncør
Artikel

Overførsel af persondata til USA efter EU-U.S. Privacy Shield-aftalen

Delacour
15/11/2016
Overførsel af persondata til USA efter EU-U.S. Privacy Shield-aftalen

Den 12. juli 2016 blev EU-U.S. Privacy Shield-aftalen formelt vedtaget, men hvad er egentlig de praktiske konsekvenser af aftalen? I denne artikel kan du læse om de praktiske konsekvenser af vedtagelsen af Privacy Shield-aftalen i forbindelse med overførsel af persondata mellem virksomheder i Europa og USA.




Baggrund


EU-U.S. Privacy Shield-aftalen har til formål at sikre den nødvendige og tilstrækkelige beskyttelse af personoplysninger, der overføres mellem EU og USA, når disse oplysningerne indsamles, behandles eller opbevares i USA, eksempelvis ved anvendelse af amerikanske databehandlere, herunder Cloud-løsninger. Aftalen stiller især krav til amerikanske myndigheders adgang til personoplysninger om EU borgere og til hvordan amerikanske virksomheder tilslutter sig aftalen. Nedenfor gennemgås de praktiske ændringer, som virksomheder i Danmark og EU bør være opmærksomme på, hvis de overfører personoplysninger til USA.


EU-U.S. Privacy Shield certificering for amerikanske virksomheder


Privacy Shield er en aftale om selvcertificeringsordning, som amerikanske virksomheder kan tilslutte sig, hvis de behandler personoplysninger fra borgere eller virksomheder i EU/EØS. Således kræver certificeringen, at de amerikanske virksomheder overholder en række grundlæggende persondataregler, som sikrer den nødvendige beskyttelse af personoplysninger.

Privacy Shield-aftalen gælder for såvel den dataansvarlige (den, der bestemmer formålet med behandlingen) og for databehandleren (den, der behandler personoplysninger på den dataansvarliges vegne).

Amerikanske virksomheder, der behandler personoplysninger hidrørende fra Europa kan tilslutte sig Privacy Shield aftalen via en hjemmeside, som administreres af det amerikanske handelsministerium. I forbindelse med udfyldelse af EU-U.S. Privacy Shield-aftalen, skal den pågældende virksomhed blandt andet redegøre for hvilke typer af persondata, den behandler og til hvilket formål. Desuden skal virksomheden forpligte sig til at overholde de Privacy Shield-principper, som aftalen foreskriver - så som oplysningspligt overfor den registrerede, samtykke til videregivelse af personoplysninger, aktindsigt m.v. Disse principper svarer grundlæggende til de, der følger af den gældende persondatalov og den kommende persondataforordning.

Det er frivilligt for amerikanske virksomheder at registrere sig, men registrerer de sig under Privacy Shield-aftalen, forpligter de sig samtidig til at overholde principperne i Privacy Shield-aftalen. Virksomhedens overholdelse af disse principper håndhæves efter amerikansk lov af den relevante håndhævningsmyndighed, dvs. enten det amerikanske handelsministerium eller den amerikanske handelskommission. Desuden pålægges de virksomheder, som certificerer sig under ordningen, en pligt til at foretage regelmæssige ajourføringer af, ligesom virksomhederne bliver underlagt kontrol fra det amerikanske handelsministerium.


Det skal EU virksomheder være opmærksomme på


De europæiske virksomheder, der ønsker at overføre personoplysninger til USA, kan tjekke om den amerikanske virksomhed har certificeret sig under EU-U.S. Privacy Shield-aftalen ved tjekke den såkaldte ”Privacy Shield List” (https://www.privacyshield.gov/list), som er en liste over certificerede amerikanske virksomheder.

Fremgår den amerikanske virksomhed af listen, kan en europæisk virksomhed indgå en databehandleraftale med denne virksomhed uden krav om særskilt hjemmel. Fordelen ved at indgå en databehandleraftale med en certificeret virksomhed er, at aftalen ikke behøver forhåndsgodkendelse af Datatilsynet og behøver heller ikke at blive indgået på baggrund af Europa Kommissionens standardkontrakt, som ellers er påkrævet for ikke-certificerede virksomheder. Dog skal overførsel af følsomme og semi-følsomme oplysninger forsat anmeldes til Datatilsynet frem til at persondataforordningen træder i kraft 25. maj 2018.

Desuden skal det nævnes, at virksomheder i EU fortsat kan overføre personoplysninger til USA ved eksempelvis at anvende Kommissionens standardkontrakter, og anvendelse af disse kræver desuden heller ikke Datatilsynets godkendelse, dog gælder der et krav om, at den anvendte kontrakt skal være i fuld overensstemmelse med bestemmelserne i Kommissionens standardkontrakt. Er der foretaget ændringer i kontrakten i forhold til Kommissionens standardkontrakter, er der ikke længere tale om en standardkontrakt, og der skal derfor fortsat indhentes tilladelse til overførslen persondata fra Datatilsynet.

Koncernforbudne selskaber kan ligeledes forsat anvende såkaldte Binding Corporate Rules (BCR) for overførsel af personoplysninger internt i virksomheden, disse skal dog være godkendt af Datatilsynet forinden overførsel kan ske til en koncern-virksomhed i eksempelvis USA.

Fordelen ved at anvende Privacy Shield-aftalen er således, at det forud for aftalen om overførelse af persondata, kun er nødvendigt at indgå en almindelig databehandleraftale med databehandleren. En sådan aftale skal bl.a. indeholde bestemmelser om, at databehandleren alene handler efter instruks fra den dataansvarlige, og at databehandleren skal foretage forskellige tekniske og organisatoriske sikkerhedsforanstaltninger for at sikre oplysningerne, og den kræver desuden ikke en forhåndsgodkendelse fra Datatilsynet.


Bøder, årlig kontrol og ombudsmandsinstitution


Efterlever de amerikanske virksomheder ikke forpligtelserne som foreskrevet i Privacy Shield-aftalen, kan de pålægges sanktioner og fjernes fra listen over virksomheder certificeret i henhold til Privacy Shield-aftalen.

Er der mistanke om, at en myndighed tilknyttet den amerikanske stat (det vil nok især være amerikanske efterretningstjenester) i strid med Privacy Shield-aftalen har tilegnet sig personoplysninger fra EU-borgere uden at, der har været stærke nationale sikkerhedsmæssige årsager hertil, kan berørte EU-borgere klage over dette til en uafhængig amerikansk ombudsmand.

EU-Kommissionen og det amerikanske handelsministerium vil herudover årligt evaluere aftalen for at sikre, at den fungerer efter hensigten, og samtidig kontrollere at de registrerede EU-borgeres personoplysninger nyder tilstrækkelig databeskyttelse.


Kontakt DELACOUR


Hvis du har spørgsmål i forbindelse med det praktiske indhold i EU-U.S. Privacy Shield-aftalen, kan du rette henvendelse til DELACOUR og få en snak med vores specialister i persondataret Rasmus Lund og Reza Ahmadian.

Det omtalte EU-U.S. Privacy Shield kan læses her: http://ec.europa.eu/justice/data-protection/files/privacy-shield-adequacy-decision_en.pdf

 






Gå ikke glip af vigtig juridisk viden - Tilmeld dig vores gratis nyhedsservice her →
Fagligt indhold, der kunne være relevante for dig
4 år med GDPR
Jurainfo Exclusive logo
PODCAST
4 år med GDPR
Hvordan ligger landet 4 år efter ikrafttrædelsen af Databeskyttelsesforordningen?
Hvornår må du udsende nyhedsbreve og tilbud til dine kunder?
Jurainfo logo
EXCLUSIVE
VIDEO
Hvornår må du udsende nyhedsbreve og tilbud til dine kunder?
Det kræver et markedsføringssamtykke fra dine kunder, hvis du ønsker at udsende nyhedsmail, sms'er eller på anden måde kontakte dem med gode tilbud. Advokat, Torsten Hylleberg, kommer her nærmere ind på hvad du skal være opmærksom på i forbindelse med indhentelse af markedsføringssamtykker.
Tredjelandsoverførsler og den nye aftale med USA
Jurainfo Exclusive logo
PODCAST
Tredjelandsoverførsler og den nye aftale med USA
Vi sætter fokus på overførsel af personoplysninger til usikre tredjelande, herunder overførsler til USA baseret på den nye aftale mellem EU og USA.
Artikler, der kunne være relevante for dig
EDPB vedtager udtalelse om den dataansvarliges forpligtelser ved brug af databehandlere
EDPB vedtager udtalelse om den dataansvarliges forpligtelser ved brug af databehandlere
10/10/2024
Persondata
Kræftens Bekæmpelse idømt bøde i GDPR-sag
Kræftens Bekæmpelse idømt bøde i GDPR-sag
11/10/2024
Persondata
EDPB har vedtaget en vejledning om interesseafvejningsreglen
EDPB har vedtaget en vejledning om interesseafvejningsreglen
21/10/2024
Persondata
Ret til indsigt i oplysninger på utilsigtet modtager
Ret til indsigt i oplysninger på utilsigtet modtager
11/11/2024
Persondata
Meta giver brugerne flere valgmuligheder
Meta giver brugerne flere valgmuligheder
18/11/2024
Persondata
Kommune får kritik for deres sikkerhedsprocedurer
Kommune får kritik for deres sikkerhedsprocedurer
19/11/2024
Persondata, Compliance
Jurainfo logo

Jurainfo.dk er landets største juridiske nyhedsside. Her finder du juridiske nyheder, kurser samt ledige juridiske stillinger. Vi hjælper dagligt danske virksomheder med at tilegne sig juridisk viden samt at sætte virksomheder i forbindelse med den rigtige juridiske rådgiver, når de har brug for råd og vejledning.

Jurainfo.dk ApS
CVR-nr. 38375563
Vandtårnsvej 62B, DK-2860 Søborg
(+45) 71 99 01 11
kontakt@jurainfo.dk
Ønsker du at udgive materiale?
2024 © Jurainfo.dk - Juridiske nyheder og arrangementer samlet ét sted