Europæiske virk­som­he­der kan igen overføre persondata sikkert til USA

EU-Kommissionen har den 10. juli 2023 besluttet, at EU-U.S. Data Protection Framework nu kan bruges til sikkert at overføre personoplysninger fra EU til USA. Sådanne overførsler kan derfor ske uden ekstra sikkerheds- eller beskyttelsesforanstaltninger ved brug af EU-U.S. Data Protection Framework.
News
IT og Teknologi

Baggrund

Efter EU-domstolens afgørelse i "Schrems II"-sagen den 16. juli 2020, hvor EU-US Privacy Shield blev erklæret ugyldigt, begyndte EU-Kommissionen og den amerikanske regering at drøfte en ny ramme, der adresserede de bekymringer, der blev rejst af EU-domstolen.

Den 10. juli 2023 blev der opnået enighed om en ny overførselsaftale, så der igen bliver åbnet op for, at personoplysninger kan overføres sikkert til USA.

Den nye aftale

Den nye aftale betyder, at amerikanske virksomheder kan forpligte sig til at overholde GDPR-reglerne, herunder reglerne om beskyttelse af personer (f.eks mulighed for at få adgang til egne data, mulighed for berigtigelse eller sletning af ukorrekte eller ulovligt håndterede data, m.v.). EU-borgere vil også få flere klagemuligheder, når deres personoplysninger behandles af amerikanske virksomheder.

Virksomheder, der f.eks. benytter cloudtjenester eller support af IT-systemer fra USA, vil herefter lettere kunne anvende sådanne tjenester uden først at skulle foretage andre foranstaltninger, f.eks. at indgå standardkontraktbestemmelser.

Aftalen betyder også, at personoplysninger overført fra EU til USA vil være underlagt bindende sikkerhedsforanstaltninger, hvilket øger retssikkerheden for europæiske virksomheder.

For personer, hvis personoplysninger overføres til USA, giver aftalen derudover mulighed for:

  • Begrænsning af amerikanske efterretningsmyndigheders adgang til data til brug for at beskytte den nationale sikkerhed i USA
  • Forbedret tilsyn med aktiviteter fra amerikanske efterretningstjenester for at sikre overholdelse af de nye begrænsninger for overvågningsaktiviteter
  • Etablering af en uafhængig og upartisk klagemekanisme, som inkluderer en ny databeskyttelsesdomstol til at undersøge og løse klager vedrørende adgang til europæiske borgeres personoplysninger fra de amerikanske efterretningstjenester.

Hvad betyder aftalen for dig?

Først og fremmest betyder den nye aftale, at amerikanske leverandører, samarbejdspartnere og kunder, der vælger at blive certificeret i USA under EU-U.S. Data Protection Framework, vil blive underlagt regler, der minder om de europæiske regler for behandling af personoplysninger.

For virksomheder, der f.eks. benytter cloudtjenester eller support af IT-systemer fra USA, vil herefter lettere kunne anvende sådanne tjenester uden først at skulle foretage andre foranstaltninger, f.eks. at indgå standardkontraktbestemmelser.

Læs hele EU-Kommissionens pressemeddelelse her: https://ec.europa.eu/commission/presscorner/detail/en/ip_23_3721  

Kontakt os

Vi følger udviklingen tæt og opdaterer jer, når Datatilsynet udsender nye retningslinjer. Hvis du har spørgsmål om den nye aftale eller andre spørgsmål om persondataret, så kontakt partner, advokat Torsten Hylleberg.