EU-Kommissionen har vedtaget en tilstrækkelighedsafgørelse for EU-U.S. Data Privacy Framework, som giver et nyt lovligt overførselsgrundlag for personoplysninger til amerikanske virksomheder, der er certificeret under ordningen. For disse modtagere kan overførsler ske uden supplerende foranstaltninger eller brug af standardkontraktklausuler. Ordningen skal dermed aflaste organisationers compliance-arbejde, men gælder kun for certificerede importører.
Forbedrede garantier
Frameworket indeholder bindende begrænsninger i amerikanske myndigheders adgang til EU-data, baseret på nødvendighed og proportionalitet. En ny domstolslignende instans, Data Protection Review Court (DPRC), er oprettet for at give borgere i EU effektive klagemuligheder over efterretningsadgang.
DPRC kan pålægge bindende retsmidler, herunder sletning af ulovligt indsamlede oplysninger. Derudover stilles krav til certificerede virksomheder om bl.a. sletning, når formålet er opfyldt, og sikring af beskyttelsesniveauet ved videreoverførsler til tredjeparter. EU-borgere får adgang til uafhængig tvistbilæggelse og voldgift uden omkostninger.
Implementering og tilsyn
EU-Kommissionen vil regelmæssigt evaluere ordningen i samarbejde med europæiske datatilsyn og relevante amerikanske myndigheder. Den første evaluering gennemføres inden for et år for at verificere, at ordningen er fuldt implementeret og fungerer effektivt. Datatilsynet har varslet opdatering af vejledninger om cloud og tredjelandsoverførsler.
Interesseorganisationer har varslet et retligt eftersyn af ordningen, og en prøvelse ved EU-Domstolen kan ikke udelukkes. Indtil en eventuel omgørelse vil certificerede overførsler være lovlige efter EU-retten. Organisationer bør derfor dokumentere deres overførselsgrundlag og løbende følge myndighedernes vejledning. Læs EU-Kommissionens pressemeddelelse her.
