EU-Kommissionen har offentliggjort et udkast til en tilstrækkelighedsafgørelse for USA, der sigter mod at lovliggøre overførsel af personoplysninger under GDPR artikel 45. Indtil afgørelsen eventuelt vedtages, behandles USA fortsat som et usikkert tredjeland, og dataeksportører må basere sig på standardkontraktbestemmelser og supplerende foranstaltninger.
Baggrund
EU-Domstolens Schrems II-dom ugyldiggjorde Privacy Shield og fastslog, at standardkontraktbestemmelser kan anvendes, hvis der suppleres med beskyttelsesforanstaltninger, der reelt udligner risici ved tredjelandsoverførsel. Det har skabt betydelige udfordringer, ikke mindst ved brug af cloudtjenester med tilknytning til USA.
Som led i en ny ramme har USA ved præsidentielt dekret etableret yderligere begrænsninger og kontrol med amerikanske myndigheders adgang til data om EU-borgere. Kommissionens udkast hviler på disse ændringer og den opdaterede ramme betegnet EU-U.S. Data Privacy Framework.
Hovedpunkter i udkastet
Udkastet beskriver en certificeringsordning og nye garantier for de registrerede. De centrale elementer kan sammenfattes således:
- Amerikanske virksomheder kan tilslutte sig rammen via selvcertificering og skal overholde dokumenterede privatlivsforpligtelser, herunder oplysningspligt, indsigt, formålsbegrænsning, sikkerhed og databehandleraftaler.
- Myndigheders adgang til personoplysninger skal være nødvendig og proportional og have hjemmel i et retsgrundlag.
- EU-borgere får adgang til at klage over myndigheders indsamling via en ny databeskyttelsesdomstol.
Hvis vedtaget, vil afgørelsen udgøre et selvstændigt overførselsgrundlag over for certificerede organisationer. For øvrige overførsler er SCC og supplerende foranstaltninger fortsat nødvendige.
Næste skridt og risici
Udkastet behandles af Det Europæiske Databeskyttelsesråd, Europa-Parlamentet og medlemsstaterne. Parallelt skal amerikanske virksomheder etablere politikker, procedurer og kontroller for at opnå og vedligeholde selvcertificering. Indtil en endelig afgørelse foreligger, bør dataeksportører fortsætte transfer impact assessments, dokumentere risici og vedligeholde supplerende tekniske og organisatoriske foranstaltninger.
Interesseorganisationer har varslet, at rammen kan blive prøvet ved EU-Domstolen, bl.a. med fokus på proportionalitet og effektiv klageadgang. En vedtaget afgørelse vil dog gælde, indtil den eventuelt måtte blive kendt ugyldig, hvilket bør indgå i virksomheders risikostyring og kontraktstrategi.
