Overførsler til USA

Her kan du bl.a. læse om tilstrækkelighedsafgørelsen for EU-U.S. Data Privacy Framework.

Europa-Kommissionens tilstrækkelighedsafgørelse

Den 10. juli 2023 vedtog Europa-Kommissionen en tilstrækkelighedsafgørelse for det såkaldte EU-U.S. Data Privacy Framework. Tilstrækkelighedsafgørelsen indebærer, at der igen vurderes at være et tilstrækkeligt beskyttelsesniveau for personoplysninger, som overføres fra EU til USA.

Tilstrækkelighedsafgørelsen kan dog alene anvendes som overførselsgrundlag, når man overfører personoplysninger til organisationer, der har certificeret sig under EU-U.S. Data Privacy Framework hos det amerikanske handelsministerium (DoC). Listen over certificerede organisationer opdateres løbende og kan findes her.

Europa-Kommissionen har udarbejdet en række spørgsmål og svar om tilstrækkelighedsafgørelsen, som kan findes her

Det Europæiske Databeskyttelsesråd (EDPB) har dertil udgivet to FAQ'er (ofte stillede spørgsmål) om EU-U.S. Data Privacy Framework. Den ene er stilet til registrerede i EU og fokuserer især på deres rettigheder og klagemuligheder under EU-U.S. Data Privacy Framework. Den anden er målrettet virksomheder i EU, som ønsker at overføre personoplysninger til EU-U.S. Data Privacy Framework-certificerede virksomheder.

FAQ for registrerede

FAQ for virksomheder

Baggrund

EU-U.S. Data Privacy Framework er en certificeringsordning for amerikanske virksomheder. Ordningen består af en række centrale databeskyttelsesprincipper, herunder krav om sikkerhedsforanstaltninger, som de certificerede virksomheder er forpligtede til at overholde. Europa-Kommissionen har med tilstrækkelighedsafgørelsen fra 2023 vurderet, at disse principper sammen med nye retssikkerhedsgarantier for EU-registrerede i amerikansk lovgivning sikrer et tilstrækkeligt beskyttelsesniveau for personoplysninger overført fra EU til certificerede virksomheder i USA.

Tilstrækkelighedsafgørelsen er blevet forhandlet på plads på baggrund af EU-Domstolens Schrems II-afgørelse fra 2020, hvor Domstolen erklærede den tidligere tilstrækkelighedsafgørelse for  EU-U.S. Privacy Shield ugyldig. EU-U.S. Privacy Shield var ligeledes en certificeringsordning for amerikanske virksomheder med en række centrale databeskyttelsesprincipper, som certificerede virksomheder var forpligtede til at overholde. Domstolen udtalte sig ikke om selve certificeringsordningen i afgørelsen, som primært fokuserede på manglende retssikkerhed for EU-registrerede i amerikansk lovgivning.

Europa-Kommissionen har siden Schrems II været i dialog med den amerikanske regering og relevante myndigheder med henblik på at sikre, at USA kan leve op til kriterierne for et tilstrækkeligt beskyttelsesniveau og vurderes som et sikkert tredjeland i databeskyttelsesretlig forstand. Den amerikanske regering har på den baggrund vedtaget ny lovgivning, som bl.a. fastsætter, at amerikanske efterretningstjenester kun har adgang til data i det omfang, det er nødvendigt og forholdsmæssigt. Dertil har EU-registrerede nu mulighed for at klage til en uafhængig klageinstans over amerikanske efterretningstjenesters behandling af deres personoplysninger