EU-Kommissionen har vedtaget en tilstrækkelighedsafgørelse for EU US Data Privacy Framework, som muliggør lovlig overførsel af personoplysninger til amerikanske organisationer, der er certificeret hos det amerikanske handelsministerium. Ordningen gælder alene for overførsler til USA og kun for de enheder, der fremgår af den officielle certificeringsliste.
Retsgrundlag og rækkevidde
Certificerede amerikanske modtagere forpligter sig til databeskyttelseskrav, der svarer til GDPR’s niveau. Afgørelsen ændrer ikke på reglerne for andre tredjelande og dækker ikke underdatabehandlere uden for USA. For sådanne overførsler kræves fortsat et gyldigt overførselsgrundlag, typisk SCC suppleret med en TIA og eventuelle supplerende foranstaltninger.
Ordningen bygger på amerikanske justeringer af tilsyn og retsmidler, som Kommissionen vurderer opfylder kravet om et tilstrækkeligt beskyttelsesniveau. Vurderingen kan dog blive prøvet ved EU-Domstolen, hvilket skaber en vis retlig usikkerhed.
Praktiske implikationer
Dataansvarlige og databehandlere bør først verificere, om den amerikanske modtager er certificeret, og om certificeringen dækker de relevante databehandlingsaktiviteter. Den officielle deltagerliste kan søges her: https://www.dataprivacyframework.gov/s/participant-search.
Er modtageren ikke certificeret, eller indgår der underdatabehandlere uden for USA, skal organisationen anvende SCC eller BCR, gennemføre en TIA og vurdere behovet for supplerende foranstaltninger som kryptering, adgangskontrol og dataminimering. Dokumentation bør indarbejdes i fortegnelser, politikker og databehandleraftaler.
Risici og anbefalinger
Afgørelsen forventes udfordret, og databeskyttelsesmyndigheder har rejst kritik af, om ordningen fuldt ud adresserer EU-Domstolens tidligere praksis. Organisationer bør derfor planlægge for et muligt scenarie, hvor overførsler til USA igen bliver begrænset.
Det anbefales at etablere en exit strategi, herunder kontraktuelle ophørsklausuler, beredskab for skift af leverandør og alternative overførselsmekanismer. Samtidig bør der føres løbende kontrol af certificeringsstatus, ajourføring af TIA’er og vurdering af tekniske og organisatoriske sikkerhedsforanstaltninger.
