Kan vi nu lovligt overføre personoplysninger til USA?
Siden Schrems II- afgørelsen i 2020, har det været svært at overføre personoplysninger til USA. Privacy Shield-ordningen blev erklæret ugyldigt. Derfra er reglerne kun blevet strammet. Senest har Datatilsynets cloud-vejledning fastslået, at dataeksport ud af EU reelt ikke er lovligt. I hvert fald ikke i de fleste situationer. Alt tyder dog på, at en løsning er på vej. EU og USA har i samarbejde udarbejdet en rammeaftale kaldt Trans-Atlantic Data Privacy Framework i marts 2022. Men er det løsningen på alle problemerne?
Hovedpunkter i rammeaftalen
- Den nye rammeaftale gør det muligt, at personoplysninger frit og sikkert kan overføres mellem EU og amerikanske virksomheder, som har tiltrådt Trans-Atlantic Data Privacy Framework.
- Rammeaftalen indeholder nye regler og bindende sikkerhedsforanstaltninger, som begrænser amerikanske efterretningstjenesters adgang til data. De amerikanske efterretningstjenesters adgang til data skal begrænses til, hvad der er nødvendigt og proportionalt i forhold til at beskytte den nationale sikkerhed.
- De amerikanske efterretningstjenester vil vedtage procedurer for at sikre en effektiv overblik over nye privatlivs- og borgerlige frihedsrettigheder.
- Nyt to-trins klagesystem til at undersøge og løse klager fra europæiske borgere i forhold til de amerikanske efterretningstjenesters adgang til personoplysninger. Dette klagesystem består blandet andet af Data Protection Review Court, som kan betragtes som en databeskyttelsesretlig domstol.
- Strenge forpligtelser for virksomheder, der behandler personoplysninger fra EU. Det nuværende krav om selv-certificering af virksomhedernes overholdelse af principperne gennem the U.S. Department of Commerce forsætter.
- Specifikke overvågnings- og revisionsmekanismer.
Er det så lovligt at overføre personoplysninger til USA?
Nej. Ikke endnu. Rammeaftalen er mere en hensigtserklæring end et juridisk bindende dokument. Rammeaftalen Trans-Atlantic Data Privacy Framework skal først implementeres i EU og USA.
Målet er, at de nye amerikanske forpligtigelser skal danne grundlag for en tilstrækkelighedserklæring fra EU-Kommissionen, hvor den nye Trans-Atlantic Data Privacy Framework skal indføres.
Det er fortsat usikkert, hvordan denne rammeaftale skal anvendes i praksis. Derudover er det usikkert, hvornår EU-Kommissionen kommer med en tilstrækkelighedserklæring samt ordlyden heraf. Men meget tyder på, at vi er et skridt nærmere i forhold til at kunne overføre personoplysninger lovligt til USA igen.
Den gyldne nøgle?
Trans-Atlantic Data Privacy Framework er et meget tiltrængt skridt. Stort set alle virksomheder og myndigheder i EU bryder i et eller andet omfang GDPR i dag ved at overføre personoplysninger til USA. Det er i praksis svært at undgå, sådan som vores globale IT-infrastruktur er opbygget.
Hvornår Trans-Atlantic Data Privacy Framework bliver implementeret I praksis, er dog uklart. Jo hurtigere jo bedre.
Overførelse af personoplysninger til resten af verden, løses dog ikke med Trans-Atlantic Data Privacy Framework. Hertil kommer, at Max Schrems og hans organisation ”Non of your business (NOYB)” forventeligt vil udfordre ordningen ved EU-domstolen.
Tiden vil derfor vise, hvornår – og hvor længe – brugen af IT-tjenester fra USA vil være lovlig. Som minimum må vi forvente, at det vil tage nogle år, før en ny retssag kommer gennem EU-systemet. Fra Trans-Atlantic Data Privacy Framework bliver implementeret og indtil en EU-retssag er afgjort, vil overførelse af persondata til USA dog være lovlig.
Det vil i det mindste være bedre end situationen i dag.
Vil du vide mere?
Hos DAHL følger vi nøje denne udvikling i forhold til overførsel af personoplysninger til USA.
Hvis du har spørgsmål til din virksomheds overførsel af personoplysninger til tredjelande eller til persondata generelt, er du velkommen til at kontakte DAHLs persondatateam, der står klar med råd og vejledning.