Grønt lys til overførsel af personoplysninger fra EU til USA

Grønt lys til overførsel af personoplysninger fra EU til USA

Compliance IT-ret EU-ret Persondata og cybersikkerhed
EU-Kommissionens tilstrækkelighedsafgørelse for USA aktiverer EU-U.S. Data Privacy Framework. Overførsler til certificerede modtagere kan ske uden TIA, men dokumentation, databehandleraftaler og tilsyn består. Tjek certificeringer og følg Datatilsynet og EDPB.
AN
Anders Hosbond Nielsen
SS
Sarah Paustian Sander
MP
Marlene Winther Plas
+2
Martin Hjørlund Nielsen
Jon Lauritzen

EU-Kommissionen har vedtaget en tilstrækkelighedsafgørelse for USA og etableret EU-U.S. Data Privacy Framework (DPF). Dermed kan dataansvarlige og databehandlere i EU overføre personoplysninger til amerikanske modtagere, der er certificeret under DPF, uden yderligere overførselsværn og uden Transfer Impact Assessments for disse specifikke overførsler.

EU-U.S. Data Privacy Framework

DPF er en certificeringsordning administreret af U.S. Department of Commerce, mens FTC fører tilsyn med overholdelsen. Ordningen bygger på bindende principper for modtagere, der modtager personoplysninger fra EU, og indebærer bl.a. oplysningspligter, ansvarskæde for underleverandører og krav om offentliggørelse af aktiv certificering via den officielle deltagerliste på Participant Search på dataprivacyframework.gov.

Ordningen suppleres af en toleddet klagemekanisme: Klage kan indgives til Civil Liberties Protection Officer med mulighed for efterfølgende prøvelse ved Data Protection Review Court. DPRC består af uafhængige medlemmer uden for regeringen og kan bl.a. pålægge afhjælpning og sletning, hvis behandling er i strid med amerikansk efterretningsret, herunder Executive Order 14086, FISA og Executive Order 12333. DPF erstatter den ugyldiggjorte Privacy Shield-ordning.

Praktiske skridt og risici

Organisationer bør straks verificere, at nuværende og fremtidige amerikanske modtagere er certificeret under DPF, og tilpasse kontrakter og intern dokumentation. Overførsler til ikke-certificerede modtagere eller til modtagere uden for USA kræver fortsat et andet overførselsgrundlag, typisk standardkontraktbestemmelser med tilhørende risikovurdering og eventuelle supplerende foranstaltninger.

Datatilsynet forventes at opdatere sine vejledninger om cloud og tredjelandsoverførsler, og EDPB offentliggør et informativt notat om ordningen. Interesseorganisationen NOYB har varslet retlig prøvelse, og en dom fra EU-Domstolen kan ændre retsstillingen. Indtil da er DPF gældende som tilstrækkelighedsafgørelse.

Følgende tiltag er relevante at gennemføre nu:

  • Opdater fortegnelser og privatlivspolitikker, når overførsler baseres på DPF frem for SCC.
  • Kontrollér modtageres certificering og tilsvarende krav for amerikanske underdatabehandlere.
  • Indgå og vedligehold databehandleraftaler samt før løbende risikobaseret tilsyn.
  • Anvend alternative overførselsgrundlag, hvor DPF ikke kan bruges, og gennemfør TIA ved SCC.
  • Overvåg vejledning fra Datatilsynet og EDPB samt den retlige udvikling.

TIAs og fortsat compliance

Overførsler til certificerede DPF-modtagere kan ske uden TIA, fordi afgørelsen hviler på GDPR art. 45. For andre overførselsmekanismer, herunder SCC og BCR, består kravet om TIA og passende tekniske og organisatoriske foranstaltninger.

DPF ændrer ikke de generelle pligter efter GDPR. Organisationer skal fortsat dokumentere behandlingsaktiviteter, sikre passende informationssikkerhed og føre effektiv leverandørstyring. Se Kommissionens Q&A for detaljerede svar på praktiske spørgsmål på europa.eu, og find certificerede modtagere via Participant Search på dataprivacyframework.gov.

Læs hele artiklen hos DLA Piper →
Søgeord
GDPR, Databehandleraftale, Informationssikkerhed, Datatilsynet, Databeskyttelse, Fortegnelse over behandlingsaktiviteter, Standardkontraktbestemmelser, Dataansvarlig, GDPR art. 30, EU-Domstolen, Accountability, EDPB, Databehandler, Tilsynsmyndighed, Tredjelandsoverførsel, Privatlivspolitik, Tilstrækkelighedsafgørelse, International dataoverførsel, GDPR art. 45, Overførsel af personoplysninger, GDPR art. 46, SCC, Transfer impact assessment, GDPR art. 44, Eu lovgivning, Underdatabehandler, Persondataforordningen, Tia, Cloudtjenester, Certificeringsordning, Data Protection Review Court, Executive Order 14086, DPF, FTC, EU-U.S. Data Privacy Framework, Executive Order 12333, FISA, U.S. Department of Commerce, DPF-principper, Civil Liberties Protection Officer

Relaterede artikler

Littler's Global Guide kvartalsvise nyheder
Littler Danmark

Littler's Global Guide kvartalsvise nyheder

EU-Domstolen begrænser mindstelønsdirektivets rækkevidde uden at ændre den danske overenskomstmodel, Arbejdsretten kræver kompensation ved lavere vikar-løn, og Højesteret præciserer både 120-dages-reglen og afgrænsningen af arbejdsskader under pendling.
Datatilsynet giver 51 kommuner alvorlig kritik i Chromebook-sag
Datatilsynet

Datatilsynet giver 51 kommuner alvorlig kritik i Chromebook-sag

Datatilsynet retter alvorlig kritik mod 51 kommuner i Chromebook-sagen og advarer om GDPR-brud ved forkert konfiguration og tredjelandsoverførsler. Kommuner skal dokumentere kontrol med underdatabehandlere og sikre EU-ækvivalent beskyttelse.
Teknologiretlige nyheder - januar highlights
Kromann Reumert

Teknologiretlige nyheder - januar highlights

Ny national cyberstrategi styrker SMV’er og beredskab, mens EU udvider EuroHPC, reviderer Cybersecurity Act og lancerer frivillige retningslinjer for mærkning af AI-indhold. Få overblik over konsekvenser for compliance, certificering og governance.
Bestyrelsesansvar – sådan undgår du personlig hæftelse som bestyrelsesmedlem
STORM Advokatfirma

Bestyrelsesansvar – sådan undgår du personlig hæftelse som bestyrelsesmedlem

Culpaansvar, kapitaltab og truende insolvens skærper kravene til bestyrelsens tilsyn og dokumentation. Få overblik over pligter efter selskabsloven og konkrete governance-tiltag, der reducerer risikoen for personlig hæftelse, fra kapitalberedskab til krisestyring.

Relaterede kurser

Årlig ansættelsesretlig opdatering
7
JUC
Årlig ansættelsesretlig opdatering
Risikovurderinger og GDPR
4
JUC
Risikovurderinger og GDPR
AI og jura - Forstå hvad AI kan, og hvad du må
Dansk Industri
AI og jura - Forstå hvad AI kan, og hvad du må

Relaterede jobs

Naturstyrelsen
Jurister med interesse for natur- og miljøbeskyttelse
Naturstyrelsen
Erhvervsministeriet
Dygtige jurister til arbejdet med velfungerende kapitalmarkeder
Erhvervsministeriet
Københavns Kommune
Kontorchef til den nye juridiske afdeling i Kultur-, Fritids- og Borgerserviceforvaltningen i Danmarks største kommune
Københavns Kommune
Erhvervsministeriet
Engageret jurist med interesse for offentlig ret til Erhvervsstyrelsens interne advokatkontor
Erhvervsministeriet
Bech-Bruun
Senioradvokat/erfaren jurist til vores GDPR-team
Bech-Bruun
Sundhedsdatastyrelsen
Erfaren jurist til udviklingsopgaver i Sundhedsdatastyrelsen
Sundhedsdatastyrelsen
Gratis adgang til alle juridiske nyheder, artikler og opdateringer.
Opret dig gratis i dag, vælg dine fagområder, og få adgang til et skræddersyet nyhedsoverblik, der gør dig klogere – og holder dig foran.
Opret gratis profil →