Nu kan private organisationer og offentlige myndigheder lovligt overføre personoplysninger til USA

Private organisationer og offentlige myndigheder kan nu igen lovligt overføre personoplysninger til USA og dermed benytte fx amerikanske cloud-leverandører. På baggrund af det nye EU-U.S. Data Privacy Framework (DPF) har EU-Kommissionen truffet en såkaldt tilstrækkelighedsafgørelse, hvorefter DPF nu udgør et lovligt overførselsgrundlag. DPF adresserer dermed de udfordringer, som Schrems II-afgørelsen fra juli 2020 medførte.

Siden EU-Domstolens Schrems II-afgørelse fra juli 2020 har mulighederne for lovlige overførsler af personoplysninger til USA været meget begrænsede. EU-Domstolen kom i Schrems II-dommen frem til, at USA er et usikkert tredjeland, som ikke har et databeskyttelsesniveau på højde med det, som vi har i EU/EØS. Dette efterlod en berettiget bekymring hos private organisationer og offentlige myndigheder, som benyttede eller overvejede at benytte især amerikanske cloud-leverandører.

På baggrund af det nye EU-U.S. Data Privacy Framework (DPF), har EU-Kommissionen truffet en såkaldt tilstrækkelighedsafgørelse, hvorefter DPF nu udgør et lovligt overførselsgrundlag. Private organisationer og offentlige myndigheder kan derfor nu igen lovligt overføre personoplysninger til USA og dermed benytte fx amerikanske cloud-leverandører.

Hvad er DPF?

Den 10. juli 2023 traf EU-Kommissionen afgørelse om, at det såkaldte EU-U.S. Data Protection Framework (DPF) sikrer et tilstrækkeligt beskyttelsesniveau for overførsler af personoplysninger til USA. DPF udgør derfor det nye overførselsgrundlag, som sikrer, at organisationer og offentlige myndigheder igen kan overføre personoplysninger til USA uden implementering af supplerende foranstaltninger. 

Anvendelsen af det nye overførselsgrundlag forudsætter dog, at de amerikanske organisationer, som man agter at overføre personoplysninger til, har certificeret sig under DPF hos det amerikanske handelsministerie (U.S. Department of Commerce). Listen over certificerede organisationer kan findes her (opdateres løbende).

DPF er en aftale mellem EU og USA, der adresserer de udfordringer, som Schrems II-afgørelsen fra juli 2020 medførte i forbindelse med EU-Domstolens ugyldiggørelse af den tidligere Privacy Shield-ordning. 

Et væsentligt element, som tilstrækkelighedsafgørelsen er baseret på, er det præsidentielle dekret (Executive Order 14086, Enhancing Safeguards for United States Signals Intelligence Activities), der tilføjer et lag af beskyttelse, som primært består af to forhold:

• Amerikanske efterretningstjenester skal efterleve principper om ”nødvendighed” og ”proportionalitet”, hvilket indebærer, at de amerikanske efterretningstjenester begrænser deres adgang til personoplysninger til, hvad der er ”nødvendigt” og ”proportionalt” for at opnå legitime formål, herunder fx at beskytte den nationale sikkerhed. Herudover vil der føres et strengt tilsyn med de amerikanske efterretningstjenester for at sikre, at de efterlever den nye standard for beskyttelse af privatlivs- og frihedsrettigheder.
• Et to-trins klagesystem til at efterforske og behandle klager fra EU-borgere over adgang til data fra amerikanske efterretningsmyndigheder. Dette omfatter en særlig type ”databeskyttelsesdomstol”. Den registreredes klage undergives først en indledende undersøgelse hos the Civil Liberties Protection Officer (CLPO). En afgørelse fra CLPO kan efterprøves i Data Protection Review Court, som er en uafhængig myndighed bestående af tre udpegede dommere pr. sag. Data Protection Review Court kan træffe afgørelse om sletning af personoplysninger, som er indsamlet ulovligt af amerikanske efterretningstjenester. Det amerikanske handelsministerium og Privacy and Civil Liberties Oversight Board (PCLOB) vil føre tilsyn med efterretningsfællesskabet. 

Selve DPF indeholder en række databeskyttelsesretlige principper, som amerikanske organisationer skal overholde.

Hvilken betydning har DPF for danske organisationer og offentlige myndigheder?

EU-Kommissionen har med sin tilstrækkelighedsafgørelse vurderet, at beskyttelsesniveauet for personoplysninger i USA i det væsentlige svarer til beskyttelsesniveauet i EU/EØS. 

Det indebærer bl.a. følgende forhold:

• Organisationer og offentlige myndigheder kan igen overføre personoplysninger til USA uden implementering af supplerende foranstaltninger, forudsat at den amerikanske organisation har certificeret sig under DPF.
• Der er ikke længere behov for udarbejdelse af Transfer Impact Assessments (TIA), når DPF anvendes som overførselsgrundlag. 
• Der kan ske overførsel af personoplysninger til USA, uden at der skal tilvejebringes et overførselsgrundlag, jf. databeskyttelsesforordningens artikel 46 – fx EU-Kommissionens standardbestemmelser eller bindende virksomhedsregler. Det er tilstrækkeligt blot at henvise til tilstrækkelighedsafgørelsen som sit overførselsgrundlag. 
• Ved overførsel af personoplysninger til amerikanske virksomheder, som ikke er certificerede, skal der fortsat tilvejebringes et overførselsgrundlag – fx EU-Kommissionens standardbestemmelser eller bindende virksomhedsregler. Herudover skal der fortsat udarbejdes TIA, men disse er nu blevet langt enklere. Det skyldes, at EU-Kommissionen i sin tilstrækkelighedsafgørelse allerede har vurderet amerikansk lovgivning og praksis til ikke at være ”problematisk” længere. Det gælder dog kun virksomheder, som ikke er underlagt anden lovgivning end den almindelige kommercielle amerikanske lovgivning.
• Amerikanske virksomheder, som har opretholdt deres Privacy Shield-certificering, skal efterleve DPF og kan begynde at anvende overførselsgrundlaget øjeblikkeligt.
• Brugen af Google Analytics vil højest sandsynligt ikke længere være ulovlig på baggrund af overførslen af personoplysninger til USA.

PwC anbefaler:

• At organisationen sikrer sig, at den amerikanske virksomhed, der skal overføres personoplysninger til, er certificeret (listen opdateres løbende). Hvis virksomheden er certificeret, skal den lovpligtige dokumentation opdateres – fx fortegnelser, databehandleraftaler og oplysningspligter.
• Hvis den amerikanske virksomhed ikke er certificeret, skal der fortsat sikres et overførselsgrundlag (fx EU-Kommissionens standardbestemmelser), og der skal fortsat udarbejdes en TIA – der dog som udgangspunkt vil være meget enkel, idet amerikansk lovgivning og praksis ifølge EU-Kommissionen ikke længere er ”problematisk”. 
• I de fleste tilfælde vil Big Tech-virksomheder anvende underdatabehandlere i forbindelse med fx support og dermed overføre personoplysninger til andre usikre tredjelande, hvor kravet om TIA fortsat er gældende.
• Der skal fortsat indgås databehandleraftaler og føres tilsyn med organisationens databehandlere.
• Det skal fortsat sikres, at der implementeres passende tekniske og organisatoriske foranstaltninger – og dermed ”almindelig” behandlingssikkerhed, jf. art. 32.
• Max Schrems og organisationen ”noyb” har allerede udtalt, at de endnu en gang vil udfordre overførselsgrundlaget ved EU-Domstolen. Der er derfor risiko for, at EU-Domstolen ugyldiggør det nye overførselsgrundlag. I den forbindelse anbefaler vi endvidere:
  • at organisationen vurderer, om der fortsat skal sikres overførselsgrundlag i form af EU-Kommissionens standardbestemmelser
  • at der udarbejdes en strategi for, hvordan en eventuel ugyldiggørelse vil håndteres. Det kan fx være et strategisk valg om, at visse overførsler og kritiske systemer fortsat undergives ”supplerende foranstaltninger”. 

Læs mere her

Vi har samlet de mest relevante sider om det nye overførselsgrundlag nedenfor. 

• EU-Kommissionens pressemeddelelse af 10. juli 2023
  
• EU-Kommissionens tilstrækkelighedsafgørelse om EU-U.S. Data Privacy Framework
• EU-Kommissions FAQ om tilstrækkelighedsafgørelsen
• Datatilsynets nyhed

Datatilsynet har endvidere oplyst, at de i den kommende tid vil opdatere tilsynets vejledninger om cloud og overførsel af personoplysninger til tredjelande. Herudover vil Det Europæiske Databeskyttelsesråd (EDPB) udgive et notat om DPF.

Hvordan kan vi hjælpe dig?

Har du brug for hjælp, er du velkommen til at kontakte PwC’s Privacy & Data Protection-specialister. 

PwC’s Privacy & Data Protection-specialister er en del af PwC’s Technology & Security-afdeling, som tæller op mod 200 konsulenter. Vi har derfor adgang til en lang række specialister inden for bl.a. cloud-, cyber- og informationssikkerhed og kan bistå med rådgivning og vejledning – fra juridisk og forretningsmæssig rådgivning til teknisk rådgivning.