Nyt overførselsgrundlag mellem EU og USA

array(24) { ["ID"]=> int(5057) ["id"]=> int(5057) ["title"]=> string(17) "jumbotron-telefon" ["filename"]=> string(21) "jumbotron-telefon.jpg" ["filesize"]=> int(67042) ["url"]=> string(74) "https://www.clemenslaw.dk/wp-content/uploads/2021/09/jumbotron-telefon.jpg" ["link"]=> string(44) "https://www.clemenslaw.dk/jumbotron-telefon/" ["alt"]=> string(0) "" ["author"]=> string(1) "5" ["description"]=> string(0) "" ["caption"]=> string(0) "" ["name"]=> string(17) "jumbotron-telefon" ["status"]=> string(7) "inherit" ["uploaded_to"]=> int(0) ["date"]=> string(19) "2021-09-30 09:48:08" ["modified"]=> string(19) "2021-09-30 09:48:08" ["menu_order"]=> int(0) ["mime_type"]=> string(10) "image/jpeg" ["type"]=> string(5) "image" ["subtype"]=> string(4) "jpeg" ["icon"]=> string(62) "https://www.clemenslaw.dk/wp-includes/images/media/default.png" ["width"]=> int(768) ["height"]=> int(293) ["sizes"]=> array(18) { ["thumbnail"]=> string(82) "https://www.clemenslaw.dk/wp-content/uploads/2021/09/jumbotron-telefon-150x150.jpg" ["thumbnail-width"]=> int(150) ["thumbnail-height"]=> int(150) ["medium"]=> string(82) "https://www.clemenslaw.dk/wp-content/uploads/2021/09/jumbotron-telefon-300x114.jpg" ["medium-width"]=> int(300) ["medium-height"]=> int(114) ["medium_large"]=> string(74) "https://www.clemenslaw.dk/wp-content/uploads/2021/09/jumbotron-telefon.jpg" ["medium_large-width"]=> int(768) ["medium_large-height"]=> int(293) ["large"]=> string(74) "https://www.clemenslaw.dk/wp-content/uploads/2021/09/jumbotron-telefon.jpg" ["large-width"]=> int(768) ["large-height"]=> int(293) ["1536x1536"]=> string(74) "https://www.clemenslaw.dk/wp-content/uploads/2021/09/jumbotron-telefon.jpg" ["1536x1536-width"]=> int(768) ["1536x1536-height"]=> int(293) ["2048x2048"]=> string(74) "https://www.clemenslaw.dk/wp-content/uploads/2021/09/jumbotron-telefon.jpg" ["2048x2048-width"]=> int(768) ["2048x2048-height"]=> int(293) } }

Den 16. juli 2020 erklærende EU-Domstolen den tidligere overførselsordning ”EU-US-Privacy Shield” for ugyldig i den såkaldte Schrems II-afgørelse. Årsagen var primært, at Privacy Shield-ordningen ikke i tilstrækkeligt omfang sikrede EU-borgere mod overvågning af den amerikanske efterretningstjeneste, når der overførtes personoplysninger til USA.

Mulighederne for lovligt at overføre persondata til USA efter EU-Domstolens tilsidesættelse af EU-US-Privacy Shield-ordningen har derfor været begrænset.

Du kan læse mere om Schrems-II-sagen her.

Overførsel af persondata til USA kan dog blandt andet ske ved anvendelse af EU-Kommissionens standardkontraktbestemmelser for overførsel af personoplysninger, som i dag udgør det primære overførselsgrundlag i praksis, når europæiske virksomheder skal overføre persondata til usikre tredjelande, herunder fx USA.

Du kan finde Europa-Kommissionens nye standardbestemmelser her (DA) Det følger dog endvidere af Schrems II-afgørelsen, at anvendelsen af EU-Kommissionens standardkontrakter ikke i sig selv er tilstrækkeligt til at sikre, at overførslen er lovlig, og at det er dataeksportørens ansvar i hvert enkelt tilfælde at foretage en vurdering af beskyttelsesniveauet i tredjelandet og behovet for eventuelle supplerende sikkerhedsforanstaltninger forud for overførsel af persondata på grundlag af EU-Kommissionens standardkontrakter.

På trods af at såvel EDPB som de nationale europæiske datatilsyn har udarbejdet flere vejledninger om, hvordan disse krav skal håndteres i praksis, er der tale om en kompliceret risikovurdering, som de fleste virksomheder finder det svært eller umuligt at foretage, særligt i forbindelse med overførsel af persondata til USA og amerikanskejede virksomheder, som fx Microsoft, Google og Amazon.

Dette har resulteret i, at flere og flere virksomheder og myndigheder i dag er tøvende i forhold til eller helt afholder sig fra at indgå samarbejder med leverandører, som anvender amerikanskejede tjenesteleverandører som underdatabehandlere.

Læs også vores artikel: Nye anbefalinger om overførsel af personoplysninger til usikre tredjelande

Den nye aftale

Den nye aftale mellem EU og USA, der indtil videre går under navnet ”Trans-Atlantic Data Privacy Framework”, skal sikre, at persondata kan overføres frit og sikkert mellem EU og amerikanske virksomheder, som er certificeret under ordningen.

I henhold til de aftalte principper skal USA blandt andet indføre nye regler og bindende sikkerhedsforanstaltninger, der begrænser den amerikanske efterretningstjenestes adgang til data om EU-borgere samt etablere et uafhængigt 2-instans klagesystem med bindende myndighed, der skal tage stilling til klager fra EU-borgere angående den amerikanske efterretningstjenestes adgang til data.

EU-Kommissionen og USA skal nu til at omsætte principperne til juridiske dokumenter, der kan danne grundlag for fremtidige overførsler af persondata til amerikanske virksomheder. Førend aftalen kan opnå status som et juridisk dokument, skal EU-Kommissionen dog foretage en tilstrækkelighedsvurdering af USA, hvorfor udsigterne til, hvornår den endelige aftale er på plads og godkendt, fortsat henstår i det uvisse.

Du kan læse EU-Kommissionens pressemeddelelse i sin helhed her.

CLEMENS Advokatfirma følger udviklingen tæt og vil løbende holde jer opdateret på de seneste nyheder.

Overfører din virksomhed personoplysninger til lande eller internationale organisationer udenfor EU/EØS, og er du i tvivl om, hvorvidt dette sker på et lovligt grundlag, så tag endelig fat i CLEMENS Advokatfirmas persondatateam.

Udmeldning om nyt overførselsgrundlag mellem EU og USA

Den nye aftale