Mandag godkendte EU-Kommissionen nemlig det såkaldte EU-U.S. Data Privacy Framework (EU-US DPF) som tilstrækkeligt ift. at beskytte overførsel af personoplysninger fra EU til USA.
Dermed bliver det nu højst sandsynligt lovligt at benytte Google Analytics, Microsoft, Dropbox, Mailchimp og en masse andre amerikanske tjenester, som hidtil har været problematiske at bruge.
EU-US DPF gør det nemlig meget nemmere at overføre persondata til USA, da du nu blot kan nøjes med at henvise til tilstrækkelighedsafgørelsen som overførselsgrundlag. Det betyder, at der ikke længere er krav om hverken at benytte EU-Kommissionens standardbestemmelser (SCC), bindende virksomhedsregler eller supplerende foranstaltninger. Alle disse er nemlig omfattet af EU-US DPF.
Ny certificeringsordning
Det kræver dog, at de virksomheder og organisationer, du ønsker at overføre persondata til, er certificeret under EU-US DPF hos det amerikanske handelsministerium. Det er nemlig dem, der administrerer og overvåger ordningen ift. de amerikanske virksomheder.
Med en certificering er den enkelte amerikanske virksomhed forpligtet til at overholde et detaljeret sæt af privatlivsforpligtelser. Disse omfatter formålsbegrænsning, dataminimering og dataopbevaring samt specifikke forpligtelser vedrørende datasikkerhed, deling af data med tredjepart og sletning af persondata uden gyldig hjemmel.
Ensartet sikkerhedsniveau over Atlanten
Med godkendelsen fastslår EU-Kommissionen, at beskyttelsesniveauet for persondata i USA i det væsentlige matcher beskyttelsesniveauet i EU/EØS. Godkendelsen har krævet en omfattende vurdering af USA’s rammer for databeskyttelse. Både vedr. persondata, men også hvad angår relevante overvågnings- og klagemekanismer.
Derfor er de amerikanske regler for behandling af personoplysninger, og status på, hvordan USA efterlever grundlæggende retsstatsprincipper inkl. klageadgang og domstolsprøvelse, blevet analyseret. Og resultatet er den længe ventede godkendelse af USA som sikkert tredjeland.
Bedre beskyttelse af EU-borgere
Den nye certificering giver EU-borgere flere nye rettigheder. Som fx at få adgang til deres data eller få rettet eller slettet ukorrekte eller ulovligt håndterede data. Derudover giver den forskellige nye klagemuligheder, hvis en EU-borgers personoplysninger behandles forkert. Disse inkluderer gratis uafhængige mekanismer til tvistbilæggelse og ikke mindst et voldgiftspanel.
Undervejs i processen har EU-Domstolen luftet en række bekymringer, som med EU-US DPF er blevet imødekommet. Disse har primært handlet om amerikanske efterretningstjenesters adgang til EU-data. Med aftalen er den nu begrænset til, hvad der er nødvendigt og forholdsmæssigt for at beskytte den nationale sikkerhed. Desuden er der nu øget tilsyn med amerikanske efterretningstjenesters aktiviteter for at sikre, at begrænsningerne i overvågningsaktiviteterne overholdes.
Ny domstol og bedre klagemuligheder
Der oprettes også en ny uafhængig og upartisk databeskyttelsesdomstol DRPC (Data Protection Review Court). Den skal undersøge og løse EU-borgeres klager vedrørende amerikanske nationale sikkerhedsmyndigheders adgang til deres data. Den nye domstol har bl.a. mulighed for at kræve sletning af ulovligt opbevarede persondata, hvilket er en betydelig forbedring ift. tidligere.
For at en klage kan antages til behandling, skal du som enkeltperson ikke kunne påvise, at dine data faktisk blev indsamlet af amerikanske efterretningstjenester. Fysiske personer kan indgive en klage til deres nationale databeskyttelsesmyndighed, som vil sikre, at klagen fremsendes korrekt. Desuden skal eventuelle yderligere oplysninger vedrørende proceduren – herunder om resultatet – gives til den enkelte.
Dette sikrer, at enkeltpersoner kan henvende sig til en myndighed tæt på hjemmet på deres eget sprog. Klager vil blive videresendt til USA af Det Europæiske Databeskyttelsesråd.
Indbygget fremtidssikring
EU-US DPF gælder fra den 10. juli 2023, og vil med jævne mellemrum blive kontrolleret for at sikre, at alle relevante elementer er fuldt implementeret i amerikansk lov. Samtidig skal det vurderes, at den fungerer effektivt i praksis. Første kontrol vil ske indenfor et år fra ikrafttrædelsen, og derefter vil ordningen blive gennemgået mindst hvert fjerde år.
Du kan finde mere om EU-US DPF på Datatilsynets hjemmeside. Her kan du også snart finde opdaterede vejledninger om cloud og overførsel af personoplysninger til tredjelande samt hjemmesidetekster om overførsel til USA.
Da EU-US DPF stadig er helt ny, er der endnu ingen certificerede virksomheder – men vi forventer, de dukker op meget hurtigt. Du kan finde listen over certificerede amerikanske virksomheder på Data Privacy Frameworks hjemmeside, som du finder her.
