EU-US Data Protection Framework

EU-US Data Protection Framework (EU-US DPF) er en aftale, der blev godkendt af EU-Kommissionen den 10. juli 2023 for at tackle usikkerheden om overførslen af persondata til USA. Denne usikkerhed opstod i 2020 på grund af sager som Schrems I og II og ophævelsen af US/EU Privacy Shield. Disse sager/domme efterlod os i en datamæssig gråzone og uden en klar løsning omkring anvendelsen af USA-baserede cloud-løsninger.

Nu er der endelig nyt på den front.

Med godkendelsen (10. juli 2023) af EU-US DPF forventes det, at overførslen af personoplysninger fra EU til USA bliver lovlig. Dette betyder, at populære tjenester som Google Analytics, Microsoft, Dropbox og Mailchimp, som hidtil har været problematiske at bruge, nu formentlig kan benyttes uden juridiske bekymringer.

En af de store fordele ved EU-US DPF er, at det gør det meget nemmere at overføre persondata til USA. Nu behøver man kun at henvise til EU-US DPF som grundlag for overførslen. Det betyder, at man ikke længere er påkrævet at benytte EU-Kommissionens standardbestemmelser (SCC), bindende virksomhedsregler eller supplerende foranstaltninger, da disse allerede er omfattet af EU-US DPF.

Beskyttelsesniveauet i al væsentlighed ens i EU og USA

Et vigtigt aspekt af EU-US DPF er, at EU-Kommissionen har fastslået, at beskyttelsesniveauet for persondata i USA i det væsentlige svarer til beskyttelsesniveauet i EU/EØS. Dette er resultatet af en omfattende vurdering af USA’s rammer for databeskyttelse, herunder behandlingen af personoplysninger og overvågnings- og klagemekanismer. Der er blevet analyseret, hvordan amerikanske regler og retsprincipper om retsstatsprincipper, herunder adgang til klage og retssag, overholdes. Resultatet af denne vurdering er EU-Kommissionens godkendelse af USA som et sikkert tredjeland.

EU-borgere opnår bedre beskyttelse

EU-US DPF har også til formål at forbedre beskyttelsen af EU-borgernes rettigheder. Den nye certificering giver EU-borgere flere rettigheder, såsom adgang til deres data, rettelse eller sletning af ukorrekte eller ulovligt behandlede data samt forskellige klagemuligheder, hvis en EU-borgers personoplysninger behandles forkert. Disse klagemuligheder inkluderer gratis uafhængige mekanismer til tvistbilæggelse og et voldgiftspanel.

Det kræver en certificering

Ingen rose uden torne, for at overføre persondata skal de virksomheder og organisationer, man ønsker at sende data til (anvende), være certificeret under EU-US DPF hos det amerikanske handelsministerium. Det er denne myndighed, der administrerer og overvåger ordningen for de amerikanske virksomheder. Certificeringen forpligter de amerikanske virksomheder til at overholde detaljerede privatlivsforpligtelser såsom formålsbegrænsning, dataminimering, dataopbevaring, datasikkerhed, deling af data med tredjepart og sletning af persondata uden gyldig hjemmel.

Du kan se en liste over certificerede virksomheder her.

EU-bekymringer vedr. efterretningstjenesterne

Undervejs i processen har EU-Domstolen rejst bekymringer vedrørende adgangen, som amerikanske efterretningstjenester har til EU-data. EU-US DPF imødekommer disse bekymringer ved at begrænse amerikanske efterretningstjenesters adgang til data til det, der er nødvendigt og forholdsmæssigt for at beskytte den nationale sikkerhed. Der er også øget tilsyn med amerikanske efterretningstjenesters aktiviteter for at sikre overholdelse af begrænsningerne i overvågningsaktiviteterne.

Nyoprettet domstol til håndtering af klager fra EU-borgere

For at sikre retfærdighed etableres der en ny uafhængig og upartisk domstol, kendt som Data Protection Review Court (DRPC), der skal håndtere klager fra EU-borgere vedrørende amerikanske nationale sikkerhedsmyndigheders adgang til deres data. Denne domstol har beføjelse til at kræve sletning af ulovligt opbevarede persondata, hvilket er en betydelig forbedring i forhold til tidligere ordninger.
For at indgive en klage til behandling skal en enkeltperson ikke længere bevise, at deres data faktisk blev indsamlet af amerikanske efterretningstjenester. Fysiske personer kan indgive klager til deres nationale databeskyttelsesmyndighed, som vil sikre, at klagen bliver sendt korrekt, og at den enkelte får oplysninger om proceduren og resultatet.

Regelmæssig kontrol af ordningen

EU-US DPF trådte i kraft den 10. juli 2023 og vil blive regelmæssigt kontrolleret for at sikre, at alle relevante elementer er fuldt implementeret i amerikansk lov og fungerer effektivt i praksis. Den første kontrol vil finde sted inden for et år efter ikrafttrædelsen, og herefter vil ordningen blive gennemgået mindst hvert fjerde år.

Læs evt. Datatilsynets artikel om EU-US DPF.