Et vendepunkt for virksomheder
Europæiske virksomheder har ventet med længsel på en løsning på deres udfordringer med brugen af databehandlere i USA.
De udfordringer kan de nu se enden på, da tilstrækkelighedsafgørelsen udgør et nyt overførselsgrundlag da Kommissionen nu vurderer, at personoplysninger kan overføres fra EU til de under "EU-U.S. Data Privacy Framework" certificerede amerikanske virksomheder uden behov for at indføre supplerende foranstaltninger.
Du kan læse tilstrækkelighedsafgørelsen her: Adequacy decision EU-US Data Privacy Framework_en.pdf (europa.eu)
Og Kommissionens pressemeddelelse her.
I denne artikel finder du svar på nogle centrale spørgsmål og vores råd til, hvordan du skal forholde dig. Hvis du er i tvivl om, hvordan din virksomhed er stillet, er du velkommen til at kontakte os.
Hvilke amerikanske virksomheder må jeg overføre personoplysninger til?
Du kan alene overføre personoplysninger frit til certificerede virksomheder. På nuværende tidspunkt er der allerede mere end 2.600 certificerede virksomheder. Det omfatter såvel tech-giganter som Microsoft og Google, som en række mellemstore og mindre virksomheder. Den hurtige certificering er sket, fordi virksomhederne er overført fra det tidligere gældende Privacy Shield til EU-U.S Data Privacy Framework uden yderligere administrativ procedure.
Listen over certificerede virksomheder opdateres løbende og kan findes her.
Skal mine SCC'er i skraldespanden?
Nej, ikke endnu.
Tilstrækkelighedsafgørelsen gælder kun for de specifikke virksomheder, der er certificeret efter den nye ordning. Hvis en virksomhed, du ønsker at overføre personoplysninger til, ikke er certificeret, vil du stadig have brug for et andet overførselsgrundlag.
Skal jeg fortsætte med at lave TIA'er?
Hvis du overfører personoplysninger til en ikke-certificeret virksomhed, er det fortsat et krav, at du udarbejder en Transfer Impact Assesment (såkaldt "TIA") for overførslen.
I den forbindelse bør du være opmærksom på, at der med Executive Order 14086 er indført ny lovgivning i USA, som styrker beskyttelsen af personoplysninger i hele USA – og altså ikke kun for de certificerede virksomheder. Dermed gør Executive Order 14086 det efter EU-Kommissionens opfattelse lettere at bruge SCC'er og bindende virksomhedsregler som overførselsgrundlag.
Det er dog ikke ensbetydende med, at din virksomhed ikke længere skal foretage en vurdering af behovet for supplerende foranstaltninger, inden I overfører oplysninger til USA på baggrund af andre overførselsgrundlag end EU-U.S. Data Privacy Framework.
Hvad med mine hidtidige overførsler?
EU-U.S. Data Privacy Framework gælder ikke for overførsler til USA, du allerede har foretaget.
Det vil sige, at hvis du har overført (eller overfører) personoplysninger til en virksomhed i USA, inden virksomheden blev certificeret under EU-U.S. Data Privacy Framework, er du stadig ansvarlig for at have sikret essentielt samme beskyttelse for personoplysningerne i perioden inden EU-U.S. Data Privacy Framework.
Hvis du modtager en klage, eller Datatilsynet kommer på besøg, kan du altså ikke forsvare lovligheden af tidligere overførsler med henvisning til EU-U.S. Data Privacy Framework.
Gælder kun USA
Det er vigtigt at huske på, at EU-U.S. Data Privacy Framework og Executive Order 14086 kun hjælper dig, hvis du skal overføre personoplysninger til (certificerede) virksomheder i USA.
Du skal derfor fortsat være opmærksom på, om der et sted i din leverandørkæde er leverandører i usikre tredjelande, fx Indien, Vietnam eller Kina. Det kan ofte være tilfældet, hvis din leverandør tilbyder support som follow the sun.
Schrems III
Man fristes til at sige "alle gode gange tre" – men måske bliver det også det for Max Schrems, den østrigske advokat, der to gange tidligere har fået tilsidesat tilstrækkelighedsafgørelser for USA ved EU-Domstolen.
Organisationen None Of Your Business (NOYB), som Max Schrems står bag, har allerede for længst meldt ud, at de ser det som "lipstick on a pig" og er klar til at indbringe tilstrækkelighedsafgørelsen for EU-Domstolen.
Du kan læse NOYB's indledende statement om EU-U.S. Data Privacy Framework her.
Du kan læse mere om, hvorfor NOYB vil indbringe tilstrækkelighedsafgørelsen for EU-Domstolen her.
En løsning ikke desto mindre
Men i hvert fald for nu er mulighederne (gen)åbnet for de mange danske og europæiske virksomheder, der siden juni 2020 har kæmpet for lovligt at kunne sende personoplysninger til amerikanske virksomheder.
Varslet om, at åndehullet under EU-U.S. Data Privacy Framework muligvis ikke varer evigt, ændrer ikke på, at det for nuværende er et afgørende redskab for mange virksomheders drift.
Tredjelandsoverførsler er kun ét kapitel i GDPR
De glædelige nyheder må dog ikke fjerne fokus fra, at der er mange andre databeskyttelsesretlige forhold at være opmærksom på.
Du kan forvente, at dine databehandlere og underdatabehandlere i den kommende tid opdaterer deres standardvilkår og databehandleraftaler.
I den forbindelse skal du særligt huske følgende:
- Sørg for, at databehandleraftalerne er lovlige og retvisende, inden du indgår dem.
- Hvis din virksomhed er databehandler, så sørg for at pålægge underdatabehandlere de samme krav, som I selv er underlagt som databehandler.
- Sørg for at føre tilstrækkeligt tilsyn med dine databehandlere.
- At opdatere dine databeskyttelsesretlige dokumentation, herunder privatlivspolitikker, fortegnelser over behandlingsaktiviteter og kortlægning af tredjelandsoverførsler.
- At Datatilsynet i den kommende tid vil opdatere tilsynets vejledninger om cloud og overførsel af personoplysninger til tredjelande samt hjemmesidetekster om overførsel til USA.