EU-Kommissionen vedtager tilstrækkelighedsafgørelse vedrørende USA

Dato: 10-07-2023

Nu kan man overføre personoplysninger til organisationer i USA, der er certificeret under ny aftale.

EU-Kommissionen har i dag truffet afgørelse om, at det såkaldte ”EU-U.S. Data Privacy Framework” sikrer et tilstrækkeligt beskyttelsesniveau i forbindelse med overførsel af personoplysninger fra EU til USA. Se EU-Kommissionens pressemeddelelse her.  

Tilstrækkelighedsafgørelsen kan dog alene anvendes som overførselsgrundlag, når man agter at overføre personoplysninger til organisationer i USA, der har certificeret sig under EU-U.S. Data Privacy Framework hos det amerikanske handelsministerium. Listen over certificerede organisationer, som løbende opdateres, kan findes her.

EU-Kommissionen har lavet en FAQ om tilstrækkelighedsafgørelsen, som kan læses her.

Datatilsynet vil i den kommende tid opdatere tilsynets vejledninger om cloud og overførsel af personoplysninger til tredjelande samt hjemmesidetekster om overførsel til USA.

Spørgsmål og svar

EU-U.S. Data Privacy Framework (EU-U.S. DPF) er en aftale mellem EU og USA, der fastsætter en række databeskyttelsesretlige forpligtelser, som de organisationer, der certificerer sig under ordningen, skal overholde. 

EU-U.S. DPF danner grundlaget for den tilstrækkelighedsafgørelse, EU-Kommissionen har vedtaget for USA. Tilstrækkelighedsafgørelsen og EU-U.S. DPF kan findes her.

EU-U.S. DPF er blevet forhandlet på plads, efter EU-Domstolen i Schrems II-sagen havde erklæret den såkaldte Privacy Shield-ordning ugyldig. Denne ordning havde indtil da dannet grundlaget for den tidligere gældende tilstrækkelighedsafgørelse for USA.

Databeskyttelsesforordningen giver mulighed for, at EU-Kommissionen kan træffe en såkaldt tilstrækkelighedsafgørelse, hvis beskyttelsesniveauet for personoplysninger i et tredjeland i det væsentlige svarer til beskyttelsesniveauet i EU/EØS.

Ved sin vurdering foretager EU-Kommissionen bl.a. en analyse af de regler, der gælder for behandling af personoplysninger i tredjelandet, men også en analyse af, hvordan tredjelandet efterlever grundlæggende retsstatsprincipper, giver ret til klageadgang og domstolsprøvelse mv.

Tilstrækkelighedsafgørelsen indebærer, at man kan overføre personoplysninger til det pågældende tredjeland uden at skulle tilvejebringe et overførselsgrundlag i databeskyttelsesforordningens artikel 46, f.eks. EU-Kommissionens standardbestemmelser eller bindende virksomhedsregler. Det er derimod tilstrækkeligt at henvise til tilstrækkelighedsafgørelsen som sit overførselsgrundlag. 

Selvom der således er tale om et såkaldt sikkert tredjeland, skal man være opmærksom på, at EU-Kommissionens tilstrækkelighedsafgørelse ikke altid dækker hele det pågældende land. Tilstrækkelighedsafgørelsen kan eksempelvis være begrænset til at vedrøre et bestemt område i landet, en særlig sektor eller en bestemt type personoplysninger.

Tilstrækkelighedsafgørelsen kan alene anvendes til at overføre personoplysninger til organisationer i USA, der har certificeret sig under EU-U.S. DPF hos det amerikanske handelsministerium. Listen over certificerede organisationer kan findes her.

Der er muligt at klage, hvis man som registreret har fået sine personoplysninger overført på baggrund af tilstrækkelighedsafgørelsen. Datatilsynet vil snarest opdatere hjemmesiden med mere information herom.

Pressekontakt

Journalister kan kontakte Anders Due på tlf. 29 49 32 83 eller ad@datatilsynet.dk.