Esbjerg
Esbjerg Brygge 28
6700 Esbjerg
Se vores åbningstider
København
H. C. Andersens Blvd. 45
1553 København V
Se vores åbningstider
Herning
Dalgasgade 21, 2
7400 Herning
Se vores åbningstider
Skjern
Bredgade 67
6900 Skjern
Se vores åbningstider
14. aug. 2023

Nu bliver det nemmere at overføre persondata til USA

Som bekendt har det hidtil været besværligt – hvis ikke umuligt – at overføre persondata til USA på lovlig vis.

Det skyldes, at USA indtil nu har været på EU-kommissionens liste over såkaldte ”usikre tredjelande”, da det ikke kunne garanteres, at beskyttelsesniveauet for personoplysninger i det væsentlige svarede til det, vi har i EU.

EU-kommissionen har nu truffet en ”tilstrækkelighedsafgørelse”, der betyder, at det vedtagne EU-US Data Privacy Framework (DPF) sikrer et tilstrækkeligt beskyttelsesniveau i forbindelse med overførsel af personoplysninger fra EU til USA.

Tilstrækkelighedsafgørelsen kan bruges som overførselsgrundlag for overførsel af persondata mellem EU og USA, og afløser altså forpligtelsen til at udarbejde Transfer Impact Assessments (TIA), samt eventuelle supplerende foranstaltninger.

Med andre ord bliver det altså væsentligt enklere – og mindre ressourcekrævende – at overføre persondata mellem EU og USA.

Sådan kan du bruge tilstrækkelighedsafgørelsen

For at kunne bruge tilstrækkelighedsafgørelsen, er det et krav, at de organisationer beliggende i USA, som man gerne vil overføre persondata til, har certificeret sig under DPF-ordningen hos det amerikanske handelsministerium. Listen over certificerede organisationer kan findes her.

Som altid er det vigtigt, at man har kortlagt overførslen af data og kender sine databehandlere og underdatabehandlere mv., da alle led skal være certificerede under DPF. Viser det sig, at underdatabehandleren ikke er DPF-certificeret, må man benytte sig af et andet overførselsgrundlag til denne del af overførslen.

Det er desuden vigtigt at huske, at DPF kun gælder overførsler mellem USA og EU, og altså ikke kan bruges i forbindelse med overførsel til andre usikre tredjelande.


Hvad skal du gøre som dataansvarlig?

Fremadrettet skal man som dataansvarlig være opmærksom på om nye behandlinger, der indebærer en overførsel til USA, sker til DPF-certificerede enheder. Man kan her anføre tilstrækkelighedsafgørelsen som behandlingsgrundlag.

For allerede eksisterende behandlinger, hvor der sker overførsel af persondata til USA, og hvor man ønsker at gå over til tilstrækkelighedsafgørelsen som behandlingsgrundlag, bør man sørge for opdatering af sine behandlingsfortegnelser, privatlivspolitikker, opdatering af eventuelle eksisterende databehandleraftaler og eventuel opdatering af politikker for tredjelandsoverførsler mv.

Hvis du har spørgsmål, er du meget velkommen til at række ud til advokat Karen Kaalund.