Afgørelse ved EU-Domstolen er landet i Latombe-sagen: Data Privacy Framework får lov til at bestå

Afgørelse ved EU-Domstolen er landet i Latombe-sagen: Data Privacy Framework får lov til at bestå

Compliance IT-ret EU-ret Persondata og cybersikkerhed
EU-Domstolen har stadfæstet EU-Kommissionens tilstrækkelighedsafgørelse for Data Privacy Framework. Overførsler af personoplysninger til certificerede modtagere i USA kan fortsætte, men organisationer bør bevare TIA, SCC-fallback og en klar exit-strategi ved ændringer.

Data Privacy Framework består efter annullationssag

EU-Domstolen har afvist et annullationssøgsmål mod EU-Kommissionens tilstrækkelighedsafgørelse for EU-US Data Privacy Framework. Afgørelsen betyder, at ordningen fortsat kan anvendes som lovligt overførselsgrundlag efter GDPR art. 45, når modtageren i USA er korrekt certificeret.

For dataansvarlige og databehandlere, der anvender amerikanske cloud- og SaaS-leverandører, reducerer dommen den akutte usikkerhed om tredjelandsoverførsler. Organisationer kan således fortsætte eksisterende dataflows under DPF, forudsat at selvcertificering og omfanget af certificeringen løbende kontrolleres og dokumenteres.

Retsgrundlag og begrundelse

Domstolen vurderede beskyttelsesniveauet på tidspunktet for Kommissionens afgørelse den 10. juli 2023. Efterfølgende ændringer i amerikansk ret eller praksis indgik ikke i prøvelsen. Retten fandt, at det samlede beskyttelsesniveau svarede til EU’s krav, set i lyset af GDPR og chartrets rettigheder.

Kritikken fokuserede især på adgang til en uafhængig prøvelsesmekanisme og risikoen for bred efterretningstilgang. Domstolen lagde vægt på, at etablerede kontrol- og klagemekanismer – herunder den særlige klageinstans for tilsynsaktiviteter – samlet set leverer et tilstrækkeligt niveau af beskyttelse og retsmidler.

Praktiske konsekvenser og anbefalinger

Medmindre der kommer en vellykket appel, kan organisationer i EU fortsat støtte sig på DPF som primært grundlag for overførsler til certificerede modtagere i USA. Samtidig består en regulatorisk risiko, da Kommissionen foretager løbende evalueringer, og yderligere retssager kan påvirke ordningens holdbarhed.

Det anbefales at fastholde et robust compliance-setup og en operativ fallback ved et eventuelt grundlagsskifte. Overvej følgende tiltag for at styrke beredskabet:

  1. Verificér og dokumentér leverandørers DPF-selvcertificering, dækningsomfang og løbetid.
  2. Vedligehold TIA, databehandleraftaler og kontraktuelle reservemekanismer (fx SCC) som plan B.
  3. Overvåg EDPB-vejledninger, tilsynspraksis og retspraksis, og opdater exit-strategien tilsvarende.
Læs hele artiklen hos HjulmandKaptain →
Søgeord
GDPR, Retspraksis, Databehandleraftale, Risikovurdering, Informationssikkerhed, Datatilsynet, Databeskyttelse, Standardkontraktbestemmelser, Governance, Dataansvarlig, EU-Domstolen, EDPB, Personoplysninger, Databehandler, Proportionalitet, Tilsynsmyndighed, Tredjelandsoverførsel, Cloud computing, Ret til privatliv, Tekniske og organisatoriske foranstaltninger, Overførselsgrundlag, Tilstrækkelighedsafgørelse, Compliance, GDPR art. 45, GDPR art. 46, SCC, EU-ret, Tia, Data privacy framework, Nødvendighed, Masseovervågning, FISA 702, Annullationssøgsmål, DPRC, EU Charter art. 7, EU Charter art. 8, Uafhængig domstol, Retten i Den Europæiske Union, Selvcertificering, Signaletterretning

Relaterede artikler

Datatilsynet har ført tilsyn med ejendomsadministratorer
Datatilsynet

Datatilsynet har ført tilsyn med ejendomsadministratorer

Datatilsynet afslutter planlagte tilsyn hos fem ejendomsadministratorer om håndtering af registreredes rettigheder. Gennemgang af interne processer og konkrete sager om indsigt og sletning viser overordnet tilfredsstillende efterlevelse. Et notat samler generelle observationer og bemærkninger.
Sø- og Handelsretten afsiger første domme om nye bødeudmålingsregler
Kromann Reumert

Sø- og Handelsretten afsiger første domme om nye bødeudmålingsregler

Sø- og Handelsretten anvender første gang de nye bødeudmålingsprincipper i kartelsager fra energisektoren. Bøderne nedsættes pga. formildende omstændigheder, mens efterfølgeransvar ved aktivoverdragelse bekræftes, men uden at basere tillæg på erhververens omsætning.
Behandling af personoplysninger ved hastighedskontrol på Storebæltsbroen
Datatilsynet

Behandling af personoplysninger ved hastighedskontrol på Storebæltsbroen

Datatilsynet fastslår, at A/S Storebæltsforbindelsen lovligt kan bruge tv‑overvågning til strækningsbaseret hastighedskontrol på Storebæltsbroen med hjemmel i Sund & Bælt-loven og GDPR art. 6. Oplysninger kan videregives til politiet efter databeskyttelsesloven § 8 ved mistanke om lovovertrædelser.
Sidste chance: Få styr på efteruddannelsen inden nytår
Advokatsamfundet

Sidste chance: Få styr på efteruddannelsen inden nytår

Advokater med periodeudløb ved årsskiftet skal have opfyldt krav om 54 lektioner inden fristen. Pligten er personlig og gælder også ved deponering i december. Gem kursusbeviser forsvarligt til tilsyn og efterfølgende indberetning via Advokatsamfundet.

Relaterede kurser

Årlig ansættelsesretlig opdatering
7
JUC
Årlig ansættelsesretlig opdatering
Risikovurderinger og GDPR
4
JUC
Risikovurderinger og GDPR
AI og jura - Forstå hvad AI kan, og hvad du må
Dansk Industri
AI og jura - Forstå hvad AI kan, og hvad du må

Relaterede jobs

Statens Serum Institut
Jurist til Afdelingen for Databeskyttelse og Informationssikkerhed på Statens Serum Institut
Statens Serum Institut
Finanstilsynet
Har du erhvervserfaring, og vil du bidrage til at sikre en robust finansiel sektor?
Finanstilsynet
Finanstilsynet
Har du erhvervserfaring, og vil du bidrage til at sikre en robust finansiel sektor?
Finanstilsynet
Politiets Efterretningstjeneste
Sektionsleder til Personalesikkerhed i PET
Politiets Efterretningstjeneste
Erhvervsministeriet
Kollega søges til Erhvervsministeriets kontor for finansielle juridiske forhold
Erhvervsministeriet
Københavns Kommune
Kategoriansvarlig for fødevarekategorien i Børne- og Ungdomsforvaltningen
Københavns Kommune
Gratis adgang til alle juridiske nyheder, artikler og opdateringer.
Opret dig gratis i dag, vælg dine fagområder, og få adgang til et skræddersyet nyhedsoverblik, der gør dig klogere – og holder dig foran.
Opret gratis profil →