EU-Kommissionens tilstrækkelighedsafgørelse for EU‑US Data Privacy Framework genåbner for lovlig overførsel af personoplysninger til certificerede modtagere i USA uden yderligere overførselsgrundlag. Afgørelsen adresserer centrale punkter fra Schrems II og styrker retssikkerheden.
Centrale elementer
Ordningen indfører bindende garantier for adgangsbegrænsning og uafhængigt tilsyn med amerikanske efterretningstjenesters behandling af EU‑borgeres data. Der etableres desuden en særskilt klagemekanisme i form af en Data Protection Review Court.
Amerikanske virksomheder kan selvcertificere sig og forpligte sig til GDPR‑lignende krav, herunder rettigheder til indsigt, berigtigelse og sletning. Det giver mere forudsigelighed ved tredjelandsoverførsler.
Betydning for danske virksomheder
Brug af amerikanske cloud- og IT-supportleverandører kan baseres på tilstrækkelighedsafgørelsen, når leverandøren står på DPF‑listen, uden nødvendigvis at anvende standardkontraktbestemmelser. Krav om vurdering af modtagerlandets ret kan i mange tilfælde forenkles.
Virksomheder bør opdatere registre og privatlivspolitikker, dokumentere overførselsgrundlag, foretage due diligence af certificering samt revidere databehandleraftaler og TIA’er, hvor DPF anvendes. Følg kommende vejledninger fra tilsynsmyndighederne. Læs Kommissionens pressemeddelelse: ec.europa.eu.
