Et skridt tættere på lovlige overførsler af data mellem EU og USA

Den 25. marts 2022 blev der annonceret en ny ”principaftale” mellem EU og USA, som gav fornyet håb om lovlig brug af fx amerikanske cloud-leverandører. ”Principaftalen” bestod af en række principper for et nyt overførselsgrundlag (”Trans-Atlantic Data Privacy Framework”). Den 7. oktober 2022 blev grundlaget for det nye overførselsgrundlag offentliggjort.

Fredag den 7. oktober 2022 underskrev den amerikanske præsident, Joe Biden, det præsidentielle dekret, som skal sikre, at europæiske organisationer lovligt kan overføre personoplysninger til USA. Dekretet – en såkaldt ”executive order” – kan læses her. Det Hvide Hus offentliggjorde i samme forbindelse et faktaark med de væsentligste forhold fra dekretet, som kan læses her.   

Dekretet har baggrund i Schrems II-dommen, der blev afsagt den 16. juli 2020, hvor EU-Domstolen erklærede Privacy Shield-ordningen ugyldig. Schrems II-dommen medførte, at overførsler af personoplysninger til USA ikke har været lovlige uden implementering af supplerende foranstaltninger. 

Den 25. marts 2022 annoncerede Joe Biden sammen med formanden for EU-Kommissionen, Ursula von der Leyen, at USA og EU-Kommissionen har indgået en politisk ”principaftale” om et nyt overførselsgrundlag (”Trans-Atlantic Data Privacy Framework”).

Det underskrevne dekret skal således danne grundlag for den nye transatlantiske data-aftale.

Næste skridt – fra dekret til aftale

Næste skridt bliver at udfærdige den juridiske aftale, hvorefter EU-Kommissionen vil fremlægge et udkast til en såkaldt ”tilstrækkelighedsvurdering” af USA på baggrund af dekretet. Det Europæiske Databeskyttelsesråd (EDPB) vil i forbindelse med afgørelsen om tilstrækkelighedsvurderingen afgive en udtalelse til EU-Kommissionen, og det forventes, at EDPB undersøger, om det nye Trans-Atlantic Data Privacy Framework opfylder de betingelser, EU-Domstolen opstillede i Schrems II-dommen.

Det forventes, at overførselsgrundlaget tidligst vil kunne anvendes fra marts 2023. Indtil overførselsgrundlaget finder anvendelse, kan dekretet anvendes i organisationens TIA'er.  

PwC anbefaler

Indtil der er etableret et nyt overførselsgrundlag til USA, er det PwC’s anbefaling, at man som dataansvarlig fortsætter med at dokumentere sine overførsler til tredjelande og følger EDPB’s trin for trin-guide (også kaldet ”Transfer Impact Assessment” eller ”TIA”):

• Trin 1: Kortlæg organisationens overførsler.

• Trin 2: Få lovgrundlag for overførslen.

• Trin 3: Vurdér tredjelandets beskyttelsesniveau (her skal dekretet inddrages).

• Trin 4: Implementér supplerende foranstaltninger.

• Trin 5: Tag processuelle skridt.

• Trin 6: Påse løbende databeskyttelsesniveauet.

PwC har i en tidligere artikel analyseret ovenstående trin for trin-guide, og i en efterfølgende artikel har vi givet konkrete råd til, hvordan organisationen kan fuldføre de seks trin og dermed organisationens TIA.

Datatilsynet har også udgivet Vejledning om cloud, som kan være til gavn for organisationer, der benytter – eller overvejer at benytte – cloud-tjenester i fx USA.

Hvordan kan vi hjælpe dig?

Har du brug for hjælp, er du velkommen til at kontakte PwC’s Technology & Security-afdeling.

PwC’s Privacy & Data Protection (GDPR)-team er en del af PwC’s Technology & Security-afdeling, som tæller op mod 200 konsulenter. Vi har derfor adgang til en lang række specialister inden for bl.a. cyber- og informationssikkerhed og kan bistå med rådgivning og vejledning – både juridisk, forretningsmæssig og teknisk.