EDPB udgiver informationsnote om EU-U.S. Data Privacy Framework

Dato: 19-07-2023
Internationalt nyt

På et møde i EDPB den 18. juli 2023 var EU-Kommissionen inviteret til at give en præsentation af tilstrækkelighedsafgørelsen for EU-U.S. Data Privacy Framework, som blev vedtaget den 10. juli 2023.

En stor del af mødet i Det Europæiske Databeskyttelsesråd (EDPB) den 18. juli 2023 var dedikeret til EU-Kommissionens tilstrækkelighedsafgørelse for EU-U.S. Data Privacy Framework. På mødet deltog repræsentanter for EU-Kommissionen for at give EDPB en præsentation af tilstrækkelighedsafgørelsen, og en gennemgang af de ændringer som EU-Kommissionen har foretaget i kølvandet på EDPB’s udtalelse til udkastet til tilstrækkelighedsafgørelsen.

Efter præsentationen vedtog EDPB en informationsnote om tilstrækkelighedsafgørelsen. Informationsnoten er udfærdiget med henblik på at besvare en række spørgsmål om betydningen af tilstrækkelighedsafgørelsen.

I forlængelse af EDPB’s informationsnote kan fremhæves følgende:

  • Der kan fra tilstrækkelighedsafgørelsens ikrafttrædelse den 10. juli 2023 overføres personoplysninger fra EU/EØS til organisationer i USA, som fremgår af ’Data Privacy Framework List’, uden at tilvejebringe et overførselsgrundlag i databeskyttelsesforordningens artikel 46. Det betyder, at det ikke er nødvendigt at etablere effektive supplerende foranstaltninger for overførsler baseret på tilstrækkelighedsafgørelsen.
  • Hvis organisationen i USA er en databehandler, der gør brug af underdatabehandlere, som ikke fremgår af 'Data Privacy Framework List', gælder tilstrækkelighedsafgørelsen ikke i forhold til disse underdatabehandlere. Der vil for sådanne videreoverførsler skulle etableres et nyt overførelsesgrundlag og eventuelt fastsættes effektive supplerende foranstaltninger for at opnå et beskyttelsesniveau svarende til det i EU/EØS jævnfør nedenfor.
  • Overførsler til organisationer i USA, der ikke fremgår af listen, kan ikke ske på baggrund af tilstrækkelighedsafgørelsen. Det vil her være nødvendigt at etablere et overførselsgrundlag i databeskyttelsesforordningens artikel 46 som f.eks. EU-Kommissionens standardbestemmelser eller bindende virksomhedsregler.
  • De garantier, som den amerikanske regering har indført i forbindelse med amerikanske efterretnings-tjenesters adgang til og brug af personoplysninger overført fra EU/EØS, gælder for alle overførsler til USA uanset valg af overførselsgrundlag. Ved vurderingen af, om det valgte overførselsgrundlag sikrer en effektiv beskyttelse, kan dataeksportører inddrage EU-Kommissionens analyse af amerikansk lovgivning og praksis i sin vurdering.
  • Det er muligt at klage, hvis du er af den opfattelse, at dine oplysninger er blevet behandlet i strid med EU-U.S. Data Privacy Framework. Datatilsynet forventer at opdatere tilsynets hjemmeside med mere information om de forskellige klagemuligheder.
    Ønsker du f.eks. at klage over de amerikanske efterretningstjenesters indsamling og brug af dine personoplysninger, kan du benytte dig af den nyetablerede klagemekanisme. Klagen skal indgives til den nationale tilsynsmyndighed for databeskyttelse (i Danmark er det Datatilsynet). Datatilsynet kan herefter videreformidle klagen til EDPB, som vil kanalisere klagen videre til klagemekanismen. Det er ikke en betingelse for at klage, at du kan påvise, at amerikanske efterretningstjenester har indsamlet personoplysninger.
  • Tilstrækkelighedsafgørelsen vil blive evalueret allerede 1 år efter ikrafttrædelsen. Det vil i den forbindelse blive kontrolleret, om alle relevante elementer er blevet gennemført fuldt ud og fungerer effektivt i praksis.

Vil du vide mere?

Læs EDPB’s pressemeddelelse om plenarmødet her.

Læs EDPB’s informationsnote om tilstrækkelighedsafgørelsen her.

Læs mere om EU – U.S. Data Privacy Framework i Datatilsynets nyhed om vedtagelsen her.

Hvad er en tilstrækkelighedsafgørelse?

Databeskyttelsesforordningen giver mulighed for, at EU-Kommissionen kan træffe en såkaldt tilstrækkeligheds-afgørelse, hvis beskyttelses-niveauet for personoplysninger i et tredjeland i det væsentlige svarer til beskyttelsesniveauet i EU/EØS. I daglig tale kaldes lande, som er omfattet af en tilstrækkelighedsafgørelse, for ”sikre tredjelande”.

Tilstrækkelighedsafgørelsen indebærer, at du kan overføre personoplysninger til det pågældende tredjeland uden at skulle tilvejebringe et såkaldt overførselsgrundlag.

Selvom der refereres til et sikkert tredjeland, skal du være opmærksom på, at EU-Kommissionens tilstrække-lighedsafgørelse ikke altid dækker hele det pågældende land.

Tilstrækkelighedsafgørelsen kan eksempelvis være begrænset til at vedrøre et bestemt område i landet, en sektor eller – som i tilfældet med EU-U.S. Data Privacy Framework – et krav om, at organisationer i USA skal have certificeret sig hos det ameri-kanske handelsministerium.