Er det nu slut med at sende persondata til USA – igen?

Er det nu slut med at sende persondata til USA – igen?

Compliance IT-ret EU-ret Persondata og cybersikkerhed
EU‑US Data Privacy Framework består, men ordningen er sårbar over for politiske ændringer i USA, bl.a. udskiftninger i PCLOB og risiko for ophævelse af det præsidentielle dekret. Virksomheder bør nu opdatere exit‑planer for cloud og dokumentere overførselsgrundlag for at sikre GDPR‑compliance.
TN
Tim Krarup Nielsen

Retsgrundlag og status

EU-US Data Privacy Framework (DPF) fastholder aktuelt et lovligt grundlag for overførsel af personoplysninger til certificerede modtagere i USA. Ordningen bygger på EU-Kommissionens tilstrækkelighedsafgørelse efter GDPR kapitel V og gør det muligt at behandle data, som om behandlingen skete inden for EU, forudsat at modtageren er tilmeldt DPF.

Det amerikanske retsgrundlag blev etableret ved præsidentielt dekret med indførelse af bindende sikkerhedsforanstaltninger, proportional begrænsning af efterretningstjenesternes adgang, en uafhængig klagemekanisme og mulighed for domstolskontrol for EU-borgere. Kommissionen bekræftede i 2023 og igen i 2024, at beskyttelsesniveauet er tilstrækkeligt.

Politisk usikkerhed i USA

Ordningen er sårbar, fordi den hviler på præsidentielt dekret og institutioner, hvis uafhængighed skal være reel. Udskiftninger i Privacy and Civil Liberties Oversight Board (PCLOB) har rejst tvivl om den fremadrettede uafhængighed. Hvis dekretet svækkes eller klagesystemet udhules, udfordres tilstrækkelighedsafgørelsens præmisser.

Et bortfald kan ske ved, at EU-Kommissionen tilbagekalder afgørelsen, eller at EU-Domstolen underkender den i en prøvesag, som vi så i Schrems I og II. Den næste planlagte Kommissionsrevision er i 2027, men et hurtigt politisk omslag i USA kan udløse en tidligere reaktion. Indtil videre er DPF dog gældende, og overførsler kan fortsætte inden for ordningens rammer.

Praktiske skridt for dataansvarlige

Mange europæiske organisationer er afhængige af cloudtjenester med USA-tilknytning. Et pludseligt bortfald af DPF vil derfor få vidtrækkende konsekvenser. Standardkontraktbestemmelser eller BCR kan i praksis være utilstrækkelige, hvis myndighedsadgang i modtagerlandet ikke kan afbødes med effektive tekniske foranstaltninger.

Datatilsynet forventer proaktiv planlægning. En opdateret exit-plan reducerer både drifts- og compliance-risiko og dokumenterer ansvarlighed, hvis tilsynet spørger. Følgende tiltag bør overvejes og dokumenteres:

  1. Kortlægning af dataflow, modtagere og overførselsgrundlag.
  2. Alternative leverandører, data­lokalisering og segmentering.
  3. Stærk kryptering, nøglekontrol og zero trust-arkitektur.
  4. Opdatering af TIA, SCC/BCR og beredskabsplan for hurtig overgang.

Hold samtidig øje med EDPB-vejledninger, nationale tilsynssignaler og eventuelle retlige udfordringer ved EU-Domstolen. Indbyg governance for løbende review, så kontrakter, risikovurderinger og tekniske foranstaltninger kan justeres uden varsel.

Læs hele artiklen hos DAHL →
Søgeord
GDPR, Databehandleraftale, Datatilsynet, Standardkontraktbestemmelser, EU-Domstolen, Kryptering, EDPB, Proportionalitet, GDPR kapitel V, Tilsynsmyndighed, EU-Kommissionen, Tekniske og organisatoriske foranstaltninger, Schrems II, Overførselsvurdering, Retlig hjemmel, Overførselsgrundlag, Tilstrækkelighedsafgørelse, Tredjelande, GDPR art. 45, Binding corporate rules, GDPR art. 46, GDPR art. 49, SCC, BCR, GDPR art. 44, Domstolskontrol, Tia, Cloudtjenester, Efterretningstjenester, CLOUD Act, FISA 702, PCLOB, EU-US Data Privacy Framework, Privacy Shield, Schrems I, Klagemekanisme, Persondataoverførsel, Safe Harbor, Præsidentielt dekret

Relaterede artikler

Norlys afhænder antenneforeningsaftaler i Trekantområdet af hensyn til konkurrencen
Konkurrence- og Forbrugerstyrelsen

Norlys afhænder antenneforeningsaftaler i Trekantområdet af hensyn til konkurrencen

Konkurrencerådet godkender tre aftaler, der gennemfører Norlys’ tilsagn efter overtagelsen af Ewii Fibernet. Norlys forlader coax-aktiviteter i Trekantområdet, så fiber og coax fortsat konkurrerer. Tiltaget modvirker prisstigninger og bevarer kundernes reelle valgmuligheder.
Nye FSR-retningslinjer
Gorrissen Federspiel

Nye FSR-retningslinjer

Kommissionens nye retningslinjer til forordningen om udenlandske subsidier udvider forståelsen af fordrejning og skærper beviskravene. Virksomheder med tredjelandsstøtte bør styrke dokumentationen, kortlægge finansielle bidrag og afklare notifikationspligt i M&A og udbud for at undgå forsinkelser og call-in.
Bestyrelsesansvar – sådan undgår du personlig hæftelse som bestyrelsesmedlem
STORM Advokatfirma

Bestyrelsesansvar – sådan undgår du personlig hæftelse som bestyrelsesmedlem

Culpaansvar, kapitaltab og truende insolvens skærper kravene til bestyrelsens tilsyn og dokumentation. Få overblik over pligter efter selskabsloven og konkrete governance-tiltag, der reducerer risikoen for personlig hæftelse, fra kapitalberedskab til krisestyring.
Advocate General opinion on neutral order execution and insider dealing under MAR
Plesner

Advocate General opinion on neutral order execution and insider dealing under MAR

Generaladvokaten fastslår, at neutral ordreudførelse ikke i sig selv er insiderhandel efter MAR, heller ikke ved parallelt ABB. Ansvar kræver bevis for illegitimt motiv. Vurderingen kan påvirke Finanstilsynets vejledning om medvirkensansvar og praksis for ordreeksekvering.

Relaterede kurser

Årlig ansættelsesretlig opdatering
7
JUC
Årlig ansættelsesretlig opdatering
Risikovurderinger og GDPR
4
JUC
Risikovurderinger og GDPR
AI og jura - Forstå hvad AI kan, og hvad du må
Dansk Industri
AI og jura - Forstå hvad AI kan, og hvad du må

Relaterede jobs

Naturstyrelsen
Jurister med interesse for natur- og miljøbeskyttelse
Naturstyrelsen
Erhvervsministeriet
Medarbejdere søges til nyoprettet kontor for tilsyn med leasingvirksomheder
Erhvervsministeriet
Københavns Kommune
Kontorchef til den nye juridiske afdeling i Kultur-, Fritids- og Borgerserviceforvaltningen i Danmarks største kommune
Københavns Kommune
Erhvervsministeriet
Engageret jurist med interesse for offentlig ret til Erhvervsstyrelsens interne advokatkontor
Erhvervsministeriet
Sundhedsdatastyrelsen
Erfaren jurist til udviklingsopgaver i Sundhedsdatastyrelsen
Sundhedsdatastyrelsen
Bech-Bruun
Senioradvokat/erfaren jurist til vores GDPR-team
Bech-Bruun
Gratis adgang til alle juridiske nyheder, artikler og opdateringer.
Opret dig gratis i dag, vælg dine fagområder, og få adgang til et skræddersyet nyhedsoverblik, der gør dig klogere – og holder dig foran.
Opret gratis profil →