EU-Kommissionen har vedtaget en tilstrækkelighedsafgørelse for USA, der etablerer EU-U.S. Data Privacy Framework. Afgørelsen er baseret på GDPR art. 45 og gør det muligt at overføre personoplysninger til amerikanske organisationer, der er certificeret under ordningen, uden at anvende standardkontraktbestemmelser eller andre overførselsmekanismer. Se nærmere hos Datatilsynet: EU-Kommissionen vedtager tilstrækkelighedsafgørelse vedrørende USA.
Praktiske konsekvenser
Før overførsel bør den dataansvarlige kontrollere, at modtageren fremgår af det amerikanske handelsministeriums liste, og at certificeringen dækker den konkrete behandling, herunder formål, datatyper og modtagerkategorier. Dokumentationen skal opdateres, fx fortegnelser, privatlivspolitik og relevante kontrakter, med henvisning til tilstrækkelighedsafgørelsen som overførselsgrundlag.
For modtagere i USA uden certificering gælder fortsat kravet om et andet grundlag, typisk standardkontraktbestemmelser suppleret af en transfer impact assessment. Afgørelsen ændrer ikke de grundlæggende behandlingsprincipper, sikkerhedkrav eller ansvar efter GDPR; den forenkler alene overførsler til certificerede organisationer.
