Afgørelsen fra EU-Domstolen
EU-Domstolen har afvist et annullationssøgsmål mod EU-Kommissionens tilstrækkelighedsafgørelse for EU‑U.S. Data Privacy Framework (DPF). Domstolen finder, at den amerikanske klage- og tilsynsordning, som er etableret for at beskytte EU‑borgeres personoplysninger efter overførsel til USA, opfylder kravene i GDPR. Dermed kan DPF fortsat anvendes som retsgrundlag for overførsel til certificerede modtagere i USA.
Kritikken gik blandt andet på masseindsamling af data, manglende uafhængig domstolsprøvelse og utilstrækkelige garantier mod automatiserede afgørelser. Domstolen lægger vægt på, at den amerikanske ordning indeholder særskilte klagemekanismer, institutionelt tilsyn og værn mod usaglig afskedigelse af de ansvarlige dommere. Desuden accepteres, at tredjelande ikke skal kopiere EU’s model, men levere et beskyttelsesniveau, der i det væsentlige svarer til EU-standarder.
Baggrund: Fra Safe Harbour og Privacy Shield til DPF
De tidligere overførselsordninger, Safe Harbour og Privacy Shield, blev underkendt, fordi amerikansk ret ikke gav tilstrækkeligt klare, forudsigelige rammer for myndigheders adgang til data, og fordi der manglede effektive retsmidler. Efter den seneste underkendelse intensiverede EU-Kommissionen dialogen med USA for at lukke hullerne.
Det førte til ændringer i amerikansk ret og oprettelsen af en særlig klageinstans med kompetence til at behandle klager fra registrerede i EU. På den baggrund vedtog Kommissionen i juli 2023 en ny tilstrækkelighedsafgørelse for DPF. Sagsøger gjorde gældende, at tiltagene stadig ikke matchede EU-niveauet, men Domstolen fandt, at de tidligere problemer nu er tilstrækkeligt adresseret, herunder krav om lovhjemmel, nødvendighed og proportionalitet ved efterretningsindsamling samt forbud mod diskriminerende behandling.
Konsekvenser og næste skridt
Afgørelsen bekræfter, at dataansvarlige og databehandlere i EU fortsat kan overføre personoplysninger til DPF‑certificerede organisationer i USA med art. 45 som hjemmel. Overførsler til ikke-certificerede modtagere kræver fortsat alternative værktøjer, såsom standardkontraktbestemmelser og en konkret overførselsvurdering. Uanset retsgrundlag skal den dataansvarlige dokumentere risikovurdering og passende sikkerhedsforanstaltninger.
Domstolen vurderede kun forholdene på tidspunktet for Kommissionens afgørelse i juli 2023. Eventuelle senere ændringer i amerikansk lovgivning kan derfor udløse ny kontrol. Sagen kan desuden ankes, hvilket kan føre til fornyet prøvelse. Virksomheder bør fortsat overvåge vejledninger fra tilsynsmyndigheder og opdatere deres compliance, herunder certificeringsstatus, kontraktbilag og interne kontrolprocedurer, for at sikre fortsat lovlig og sikker dataoverførsel.
