Det er vigtigt at være opmærksom på, at EU-U.S. Data Privacy Framework-afgørelsen kun kan bruges som overførselsgrundlag til virksomheder, som er certificeret under ordningen. Optræder en virksomhed ikke på listen over certificerede virksomheder, kan du ikke anvende tilstrækkelighedsafgørelsen til at overføre personoplysninger til den pågældende virksomhed.
En tilstrækkelighedsafgørelse er imidlertid ikke det eneste overførselsgrundlag.
Af databeskyttelsesforordningens artikel 46 fremgår således en række andre grundlag for overførsel af personoplysninger til tredjelande, eksempelvis EU-Kommissionens standardbestemmelser (SCC) eller bindende virksomhedsregler (BCR). I helt særlige situationer kan man anvende undtagelserne i Artikel 49.
Du kan læse mere om de forskellige overførselsgrundlag i Vejledning om overførsel til tredjelande.pdf
Er der stadig behov for en TIA?
Selvom der er truffet en tilstrækkelighedsafgørelse for certificerede virksomheder i USA, vil du stadig skulle vurdere, om du kan sikre et tilstrækkeligt beskyttelsesniveau for de overførte oplysninger, hvis du anvender et af overførselsgrundlagene i artikel 46 til at overføre oplysninger til modtagere i USA, der ikke er certificeret under EU-U.S. DPF.
De garantier for de registrerede, som den amerikanske regering har indført i forbindelse med amerikanske efterretningstjenesters adgang til og brug af personoplysninger overført fra EU til USA, gælder dog uanset det valgte overførselsgrundlag.
Det betyder, at du ved brug af f.eks. standardbestemmelser eller bindende virksomhedsregler kan lægge vægt på EU-Kommissionens analyse af amerikansk lovgivning og praksis i tilstrækkelighedsafgørelsen, når du skal vurdere, om dit overførselsgrundlag vil kunne sikre en tilstrækkelig beskyttelse for de overførte oplysninger.