EU–U.S. Data Privacy Framework (DPF) kan nu anvendes som overførselsgrundlag for personoplysninger til certificerede modtagere i USA. Første skridt er at kortlægge alle behandlingsaktiviteter med overførsel til USA og identificere eventuelle videreoverførsler til andre usikre tredjelande, så hele kæden vurderes efter GDPR kapitel V.
DPF og overførsler
Kontrollér, at den amerikanske importør er tilmeldt DPF. Det kan verificeres i det officielle register: DPF participant search. DPF-virksomheder skal årligt selv-certificere. Ved DPF-overførsler til USA kræves der ikke transfer impact assessment (TIA). Hvis I skifter fra standardkontraktbestemmelser (SCC) til DPF, kan eksisterende TIA’er opdateres med skiftedato og derefter afvikles.
Forekommer der videreoverførsler til andre usikre tredjelande uden for USA, skal passende garantier fortsat etableres for hele databehandlerkæden. Det kan indebære brug af SCC, opdatering af TIA’er og eventuelle supplerende foranstaltninger.
Dokumentation og oplysning
Databehandleraftaler bør opdateres, fx ved at anføre overførselsgrundlag og eventuel skiftedato fra SCC til DPF i bilagene (herunder Bilag B). Bilag D kan suppleres med DPF-relaterede forpligtelser. Sørg for konsistens mellem kontraktgrundlag, registreringer og intern compliance-dokumentation.
Privatlivsinformation til de registrerede skal opdateres, så det nye overførselsgrundlag fremgår før anvendelse, i overensstemmelse med DPF’s Notice Principle. Ved overgang fra SCC til DPF bør registrerede informeres om ændringen og tilknyttede rettigheder. DPF løser alene behovet for supplerende foranstaltninger i USA; øvrige GDPR-krav ved brug af cloud-tjenester består uændret. DPF er gyldigt, indtil EU-Domstolen eventuelt når et andet resultat.
