Er tredje gang lykkens gang?

Er tredje gang lykkens gang?

Compliance IT-ret EU-ret Persondata og cybersikkerhed
EU-Kommissionens tilstrækkelighedsafgørelse for EU-U.S. Data Privacy Framework giver et nyt, lovligt grundlag for overførsel af personoplysninger til USA, hvis modtageren er certificeret. Virksomheder skal dog fortsat vurdere behandlingshjemmel, formål og risici og opdatere dokumentationen.
EA
Elsebeth Aaes-Jørgensen
TB
Tobias Bessing

Nyt overførselsgrundlag til USA

EU-Kommissionen har vedtaget en tilstrækkelighedsafgørelse for EU-U.S. Data Privacy Framework (DPF). Afgørelsen etablerer et generelt og forenklet grundlag for at overføre personoplysninger fra EU til USA, når modtageren er omfattet af DPF. Dermed kan virksomheder igen gennemføre visse dataoverførsler uden at støtte sig på standardkontraktbestemmelser eller bindende virksomhedsregler for de specifikke modtagere, der er certificeret.

Afgørelsen kommer i kølvandet på EU-Domstolens Schrems II-dom, som underkendte Privacy Shield. DPF skal adressere de tidligere kritikpunkter, bl.a. ved at begrænse amerikanske myndigheders adgang til overførte oplysninger til, hvad der er nødvendigt og proportionalt, samt ved at etablere en uafhængig klageadgang for registrerede i EU.

Certificering og rækkevidde

DPF kan kun anvendes, hvis den amerikanske modtager er certificeret hos det amerikanske handelsministerium. Certificeringen indebærer forpligtelser til en række databeskyttelsesstandarder og er gyldig for de konkrete behandlingsaktiviteter, der er omfattet. Listen over certificerede virksomheder kan søges på den officielle deltagerliste her.

Afgørelsen giver ikke et generelt fripas til brug af alle amerikanske tjenester. EU-virksomheder skal fortsat sikre lovligt behandlingsgrundlag, klart formål, oplysningspligt og øvrig GDPR-efterlevelse. DPF ændrer ikke på kravet om at dokumentere overførsler, vurdere risici og sikre passende garantier, hvor DPF ikke kan anvendes.

Praktiske implikationer og anbefalinger

Organisationer bør kortlægge deres dataflows til USA og identificere, hvilke modtagere der er DPF-certificerede. Hvor modtageren ikke er certificeret, må overførslen fortsat baseres på standardkontraktbestemmelser eller bindende virksomhedsregler suppleret af en transfer impact assessment. Den nye klageadgang og rammerne for myndigheders adgang kan påvirke risikovurderinger og kontraktkrav.

Løbende monitoring er afgørende, da både tilsynsmyndigheder og domstole kan påvirke DPF’s anvendelse. Virksomheder bør opdatere interne politikker, fortegnelser og privatlivspolitikker, så overførselsgrundlag og modtagere fremgår tydeligt, og etablere procedurer for håndtering af eventuelle myndighedsanmodninger.

Følgende skridt kan styrke efterlevelsen:

  1. Kontrollér og dokumentér DPF-certificering for relevante amerikanske modtagere på den officielle liste.
  2. Opdater fortegnelser og oplysninger til registrerede med overførselsgrundlag og modtagere.
  3. Revider eksisterende SCC-baserede overførsler og vurder, om DPF kan anvendes i stedet.
  4. Etabler beredskab for klageadgang og anmodninger fra amerikanske myndigheder i tråd med proportionalitetskravene.
Læs hele artiklen hos Norrbom Vinding →
Søgeord
GDPR, Databehandleraftale, Datatilsynet, Databeskyttelse, Tredjelandsoverførsler, Standardkontraktbestemmelser, Proportionalitetsprincip, Dataansvarlig, Klageadgang, EU-Domstolen, Dataminimering, Konsekvensanalyse DPIA, EDPB, Personoplysninger, Formålsbegrænsning, Databehandler, Behandlingshjemmel, EU-Kommissionen, Schrems II, Ansvarlighedsprincippet, Overførselsgrundlag, Tilstrækkelighedsafgørelse, Bindende virksomhedsregler, International dataoverførsel, Compliance, Transfer impact assessment, EU-ret, National sikkerhed, Certificeringsordning, DPF, Privacy Shield, C-311/18, Department of Commerce, Google Analytics, Tilstrækkelighedsniveau, EU-U.S. Data Privacy Framework, Webanalyseværktøjer, Deltagelsesliste, Amerikanske myndigheder, Tredjelandsmodtager

Relaterede artikler

Nye FSR-retningslinjer
Gorrissen Federspiel

Nye FSR-retningslinjer

Kommissionens nye retningslinjer til forordningen om udenlandske subsidier udvider forståelsen af fordrejning og skærper beviskravene. Virksomheder med tredjelandsstøtte bør styrke dokumentationen, kortlægge finansielle bidrag og afklare notifikationspligt i M&A og udbud for at undgå forsinkelser og call-in.
Littler's Global Guide kvartalsvise nyheder
Littler Danmark

Littler's Global Guide kvartalsvise nyheder

EU-Domstolen begrænser mindstelønsdirektivets rækkevidde uden at ændre den danske overenskomstmodel, Arbejdsretten kræver kompensation ved lavere vikar-løn, og Højesteret præciserer både 120-dages-reglen og afgrænsningen af arbejdsskader under pendling.
Datatilsynet giver 51 kommuner alvorlig kritik i Chromebook-sag
Datatilsynet

Datatilsynet giver 51 kommuner alvorlig kritik i Chromebook-sag

Datatilsynet retter alvorlig kritik mod 51 kommuner i Chromebook-sagen og advarer om GDPR-brud ved forkert konfiguration og tredjelandsoverførsler. Kommuner skal dokumentere kontrol med underdatabehandlere og sikre EU-ækvivalent beskyttelse.
Regeringens lovprogram for 2026: Disse nye ændringer bør arbejdsgivere forberede sig på
HjulmandKaptain

Regeringens lovprogram for 2026: Disse nye ændringer bør arbejdsgivere forberede sig på

Lovprogrammet for 2026 moderniserer arbejdsskadesystemet, lemp­er fristen for anmeldelse af arbejdsulykker og skærper tilsynet med asbest. Bidrag til barselsudligning stiger, social dumping bekæmpes med ID‑kort og arbejdsklausuler, og adgang til udenlandsk arbejdskraft lettes via lavere beløbsgrænse.

Relaterede kurser

Årlig ansættelsesretlig opdatering
7
JUC
Årlig ansættelsesretlig opdatering
Risikovurderinger og GDPR
4
JUC
Risikovurderinger og GDPR
AI og jura - Forstå hvad AI kan, og hvad du må
Dansk Industri
AI og jura - Forstå hvad AI kan, og hvad du må

Relaterede jobs

Naturstyrelsen
Jurister med interesse for natur- og miljøbeskyttelse
Naturstyrelsen
Erhvervsministeriet
Erhvervsstyrelsen søger analytisk fuldmægtig til arbejdet med national sikkerhed og udenlandske investeringer
Erhvervsministeriet
Erhvervsministeriet
Medarbejdere søges til nyoprettet kontor for tilsyn med leasingvirksomheder
Erhvervsministeriet
Københavns Kommune
Kontorchef til den nye juridiske afdeling i Kultur-, Fritids- og Borgerserviceforvaltningen i Danmarks største kommune
Københavns Kommune
Erhvervsministeriet
Engageret jurist med interesse for offentlig ret til Erhvervsstyrelsens interne advokatkontor
Erhvervsministeriet
Sundhedsdatastyrelsen
Erfaren jurist til udviklingsopgaver i Sundhedsdatastyrelsen
Sundhedsdatastyrelsen
Gratis adgang til alle juridiske nyheder, artikler og opdateringer.
Opret dig gratis i dag, vælg dine fagområder, og få adgang til et skræddersyet nyhedsoverblik, der gør dig klogere – og holder dig foran.
Opret gratis profil →