Dataoverførselsaftale mellem USA og EU er nu på plads

Dataoverførselsaftale mellem USA og EU er nu på plads

Compliance IT-ret EU-ret Persondata og cybersikkerhed
EU’s tilstrækkelighedsafgørelse for EU‑U.S. Data Privacy Framework muliggør overførsler til certificerede amerikanske virksomheder uden art. 46-grundlag. Ikke-certificerede kræver fortsat SCC og TIA. Varslet prøvelse ved EU-Domstolen gør et robust beredskab nødvendigt.
CF
Camilla Sand Fink

Tilstrækkelighedsafgørelse genåbner lovlige EU‑USA-overførsler

EU-Kommissionen har vedtaget en tilstrækkelighedsafgørelse for EU‑U.S. Data Privacy Framework. Dermed kan personoplysninger igen overføres lovligt fra EU/EØS til amerikanske virksomheder, som er certificeret under ordningen, uden et særskilt overførselsgrundlag efter GDPR art. 46.

Afgørelsen bygger på nye amerikanske garantier, herunder begrænsning af efterretningstjenesters adgang efter nødvendigheds- og proportionalitetsprincipperne samt en uafhængig klagemekanisme i anden instans for EU-borgere. Certificerede aktører fremgår af den officielle liste Data Privacy Framework List hos det amerikanske handelsministerium.

Flere store udbydere, herunder globale cloud- og analysetjenester, er allerede certificeret, hvilket letter brugen af amerikansk-ejede løsninger i EU. Listen opdateres løbende og kan søges her: Data Privacy Framework List.

Overførsler til ikke-certificerede modtagere

Tilstrækkelighedsafgørelsen gælder alene for modtagere, der er certificeret under ordningen. Ved overførsel til ikke-certificerede organisationer i USA skal eksportøren fortsat basere sig på art. 46, typisk EU-Kommissionens standardkontraktbestemmelser, samt gennemføre en Transfer Impact Assessment.

Hvis en certificeret databehandler anvender underdatabehandlere, der ikke er certificerede, er disse videreoverførsler ikke omfattet af afgørelsen. Der skal da etableres et særskilt overførselsgrundlag og vurderes behov for supplerende foranstaltninger for at sikre et EU-ækvivalent beskyttelsesniveau.

Ved planlægning af overførsler til ikke-certificerede modtagere bør virksomheder som minimum sikre følgende:

  • Indgåelse af relevante standardkontraktbestemmelser.
  • Gennemførelse og dokumentation af en TIA med vurdering af amerikansk ret i konteksten.
  • Etablering af effektive supplerende tekniske og organisatoriske foranstaltninger, hvis nødvendigt.

De amerikanske garantier, der er indført i forbindelse med ordningen, gælder generelt for EU‑USA-overførsler uanset valgt overførselsgrundlag. Eksportører kan derfor inddrage Kommissionens analyse af amerikansk lovgivning i deres TIA.

Mulig retlig prøvelse og beredskab

Kritikere, herunder NOYB, har varslet søgsmål ved EU-Domstolen med henblik på prøvelse af ordningens lovlighed. Udfaldet er usikkert, men indtil videre udgør ordningen et gyldigt overførselsgrundlag for certificerede modtagere.

Historisk er Safe Harbor og Privacy Shield blevet underkendt med øjeblikkelig virkning. Organisationer bør derfor have et beredskab, der muliggør hurtig etablering af alternative overførselsgrundlag, samt kontraktuelle exit‑mekanismer, hvis brugen af en leverandør bliver ulovlig på grund af overførsler til USA.

Læs hele artiklen hos CLEMENS →
Søgeord
GDPR, Databehandleraftale, Datatilsynet, Databeskyttelse, Tredjelandsoverførsler, Standardkontraktbestemmelser, Proportionalitetsprincip, Grundlæggende rettigheder, Dataansvarlig, EU-Domstolen, Databehandler, Tilsynsmyndigheder, Schrems II, Overførselsgrundlag, GDPR art. 45, GDPR art. 46, SCC, Transfer impact assessment, EU-ret, Persondataret, National sikkerhed, Tia, Supplerende foranstaltninger, Cloudtjenester, Underdatabehandlere, Nødvendighedsprincip, Efterretningstjenester, Certificeringsordning, DPF, Privacy Shield, Klagemekanisme, Safe Harbor, Schrems III, EU U.S. Data Privacy Framework, Data Privacy Framework List, Google Analytics

Relaterede artikler

Datatilsynet giver 51 kommuner alvorlig kritik i Chromebook-sag
Datatilsynet

Datatilsynet giver 51 kommuner alvorlig kritik i Chromebook-sag

Datatilsynet retter alvorlig kritik mod 51 kommuner i Chromebook-sagen og advarer om GDPR-brud ved forkert konfiguration og tredjelandsoverførsler. Kommuner skal dokumentere kontrol med underdatabehandlere og sikre EU-ækvivalent beskyttelse.
Kapitalfondes investeringer i revisionsvirksomheder skaber både muligheder og risici
Erhvervsstyrelsen

Kapitalfondes investeringer i revisionsvirksomheder skaber både muligheder og risici

Kapitalfonde i revisionsbranchen kan styrke teknologi og vækst, men skærper risikoen for uafhængighedsbrud og kvalitetsfald. Få overblik over revisorlovens ejerskabsregler, etiske standarder og praktiske tiltag, der reducerer regulatoriske og driftsmæssige risici.
Littler's Global Guide kvartalsvise nyheder
Littler Danmark

Littler's Global Guide kvartalsvise nyheder

EU-Domstolen begrænser mindstelønsdirektivets rækkevidde uden at ændre den danske overenskomstmodel, Arbejdsretten kræver kompensation ved lavere vikar-løn, og Højesteret præciserer både 120-dages-reglen og afgrænsningen af arbejdsskader under pendling.
Bestyrelsesansvar – sådan undgår du personlig hæftelse som bestyrelsesmedlem
STORM Advokatfirma

Bestyrelsesansvar – sådan undgår du personlig hæftelse som bestyrelsesmedlem

Culpaansvar, kapitaltab og truende insolvens skærper kravene til bestyrelsens tilsyn og dokumentation. Få overblik over pligter efter selskabsloven og konkrete governance-tiltag, der reducerer risikoen for personlig hæftelse, fra kapitalberedskab til krisestyring.

Relaterede kurser

Årlig ansættelsesretlig opdatering
7
JUC
Årlig ansættelsesretlig opdatering
Risikovurderinger og GDPR
4
JUC
Risikovurderinger og GDPR
AI og jura - Forstå hvad AI kan, og hvad du må
Dansk Industri
AI og jura - Forstå hvad AI kan, og hvad du må

Relaterede jobs

Naturstyrelsen
Jurister med interesse for natur- og miljøbeskyttelse
Naturstyrelsen
Erhvervsministeriet
Erhvervsstyrelsen søger analytisk fuldmægtig til arbejdet med national sikkerhed og udenlandske investeringer
Erhvervsministeriet
Københavns Kommune
Kontorchef til den nye juridiske afdeling i Kultur-, Fritids- og Borgerserviceforvaltningen i Danmarks største kommune
Københavns Kommune
Bech-Bruun
Senioradvokat/erfaren jurist til vores GDPR-team
Bech-Bruun
Erhvervsministeriet
Engageret jurist med interesse for offentlig ret til Erhvervsstyrelsens interne advokatkontor
Erhvervsministeriet
Sundhedsdatastyrelsen
Erfaren jurist til udviklingsopgaver i Sundhedsdatastyrelsen
Sundhedsdatastyrelsen
Gratis adgang til alle juridiske nyheder, artikler og opdateringer.
Opret dig gratis i dag, vælg dine fagområder, og få adgang til et skræddersyet nyhedsoverblik, der gør dig klogere – og holder dig foran.
Opret gratis profil →