Persondata kan igen sendes til USA
Siden 2020 har det været en udfordring at sende persondata til USA. På lovlig vis. Siden har EU og USA arbejdet på at tillade det igen. I juli 2023 var USA på plads med de nødvendige regler. Nu har EU-Kommissionen taget det endelige skridt. Persondata kan igen sendes til USA! I hvert fald for en stund.
Hvad var problemet?
Persondata må alene behandles inden for EU/EØS – i hvert fald i praksis. Det har været realiteten siden Schrems II-afgørelsen i 2020. Det er særligt cloud-tjenester, som er hårdt ramte. De fleste af disse har på den ene eller anden måde forbindelse til USA, f.eks. ved brug af underlæggende infrastruktur.
Problemet var den brede adgang myndighederne havde til persondata i USA – og EU-borgernes manglende mulighed for at klage. Det blev først løst ved at udstede et præsidentielt dekret, som også beskrevet i artiklen her. Dekretet og følgelovgivningen var implementeret i USA den 3. juli 2023.
EU har også været i gang med at sikre de nødvendige godkendelser. Nærmere bestemt skulle EU-Kommissionen vurdere, om USA havde skabt tilstrækkelig sikkerhed for EU-borgeres behandling af persondata i USA. Det mente EU-Kommissionen var tilfældet (ikke overraskende) i sit udkast til ”Adequacy decision for the EU-US Data Privacy Framework”, der blev offentliggjort den 13. december 2022, som vi satte fokus på i artiklen her.
Processen gennem EU-systemet har ikke været uden udfordringer, hvilket vi tidligere har berørt i artiklen her.
I sidste ende blev ordningen dog godkendt af EU-Kommissionen den 10. juli 2023 med udstedelsen af ”Adequacy decision for the EU-US Data Privacy Framework”.
Kan vi sende persondata til USA nu?
Ja – forudsat at reglerne i EU-US Data Privacy Framework følges.
Primært skal modtageren i USA være omfattet af EU-US Data Privacy Framework. Det er en godkendelsesordning, som selskaber i USA kan tilslutte sig. Det svarer til de tidligere tilsvarende ordninger Safe Harbor og Privacy Shield. Herefter kan modtageren behandle persondata, som om modtageren var inden for EU. Der er således ikke behov for f.eks. at indgå de såkaldte SCC’er (standardiserede overførelsesaftaler). Den nye ordning bliver nemlig overførselsgrundlaget for tredjelandsoverførslen.
Modtageren skal dog fortsat behandles som enhver anden modtager af persondata – alle de normale regler skal således fortsat overholdes, f.eks. ift. indgåelse af databehandleraftaler.
Kan vi sende persondata til resten af verden også?
Nej. Der er alene åbnet for adgang for selskaber i USA – og kun hvis de er omfattet af EU-US Data Privacy Framework. Situationen er uændret for alle andre lande.
Det er således i praksis fortsat svært f.eks. at anvende databehandlere i Sydamerika eller Asien. Der skal fortsat foretages en konkret vurdering, udarbejdes en TIA – Transfer Impact Assessment og indgås SCC’er for langt de fleste lande.
Godkendelsen fra EU-Kommissionen løser dog et stort problem alligevel. For langt de fleste, har problemet hidtil været cloudtjenester i USA. Dermed forventes det, at det nu bliver nemmere at benytte de almindelige cloudtjenester.
Er vi så endelig i mål?
Næppe. Men der er i det mindste en løsning på plads, som forventes at holde de næste par år.
EU-US Data Privacy Framework er tredje forsøg på at skabe en ordning for udveksling af persondata med USA. Først var der Safe Harbour. Den blev underkendt. Så kom Privacy Shield. Den blev også underkendt. Begge gange initieret af Max Schrems.
Allerede nu har Max Schrems meddelt, at også EU-US Data Privacy Framework vil blive udfordret ved EU-Domstolen.
Tiden vil vise, om EU-US Data Privacy Framework overlever.
Hvad gør jeg i praksis?
Undersøg de parter uden for EU, der skal udveksles persondata med. Hvis de er lokaliseret i USA, så undersøg om de er omfattet af EU-US Data Privacy Framework, f.eks. ved at tjekke det offentlige register hos myndighederne i USA. Hvis de er omfattet, er den svære del overstået.
Privatlivspolitiker og databehandleraftaler skal herefter opdateres. Dine leverandører vil forventeligt være ganske ivrige for at sende nye. Du skal dog fortsat sørge for eventuelle opdateringer ud mod dine kunder.
Hvis der anvendes parter i USA, som ikke er omfattet af EU-US Data Privacy Framework, skal disse håndteres som hidtil. Det må dog forventes, at i hvert fald de mest almindelige parter i USA vil tilslutte sig EU-US Data Privacy Framework. Det kan overvejes, om andre parter evt. skal begrænses.
Kontakt DAHL
Har du spørgsmål til din virksomheds overførsel af personoplysninger til USA eller til persondata generelt, er du altid velkommen til at kontakte DAHLs specialister. Vi yder professionel rådgivning på området.