EDPB har vedtaget en informationsnote, der præciserer rækkevidden af EU-Kommissionens tilstrækkelighedsafgørelse for EU‑US Data Privacy Framework. Personoplysninger kan overføres til amerikanske organisationer, der fremgår af Data Privacy Framework List, uden brug af et overførselsgrundlag efter GDPR art. 46 og uden supplerende foranstaltninger.
Konsekvenser for dataoverførsler
Bruger en certificeret amerikansk databehandler underdatabehandlere, som ikke står på listen, er disse videreoverførsler ikke dækket af afgørelsen. Eksportøren skal da etablere et overførselsgrundlag efter art. 46 og vurdere behovet for supplerende foranstaltninger. Kommissionens analyse af amerikansk ret kan inddrages i overførselsvurderingen.
Overførsler til amerikanske modtagere, der ikke er certificeret, kræver fortsat SCC eller bindende virksomhedsregler. De amerikanske garantier om efterretningstjenesters adgang gælder for alle overførsler til USA uanset valgt grundlag.
Klagemuligheder og evaluering
Tilstrækkelighedsafgørelsen evalueres et år efter ikrafttrædelsen. Organisationer bør følge udviklingen og opdatere deres compliance-setup. Læs EDPB’s informationsnote her og Datatilsynets nyhed her.
