Af Flemming Kjærsdam
EU-Kommissionen har sagt ja til tilstrækkelighed for EU-US Databeskyttelsesramme, som sikrer et nyt dataoverførselsgrundlag mellem EU og forleøbigt 2500 amerikanske virksomheder, der er certificeret efter den nye lov i USA. EU-kommissionen konkluderer, at USA sikrer et tilstrækkeligt beskyttelsesniveau, der er sammenligneligt med EU’s Charter og GDPR-forordning, for overførsel af persondata. Nu kan der overføres data uden, der skal indføres yderligere databeskyttelsesforanstaltninger.
“Det er en god nyhed for danske virksomheder og myndigheder, da det nu er lovligt at overføre persondata til de amerikanske virksomheder og organisationer, som er certificeret efter det nye overførselsgrundlag,” siger formand for Rådet for Datasikkerhed, Henning Mortensen, der desuden er medlem af regeringens cybersikkerhedråd.
Henning Mortensen holdt et indlæg på itSMF´s konference den 7. juni på Blox i København om dette emne. Det, der nu er sket, er en kæmpe nyhed, efter at EU-domstolen den 16. Juli 2020 i den såkaldte Schrems II sag dømte det tidligere dataoverførselsgrundlag “Privacy Shield” for ugyldigt. Nu tre år efter den afgørelse, sendte EU-Kommisionen en pressemeddelelse ud den 10. juli, om det nye overførselsgrundlag.
Dommen i 2020 underkendte de store amerikanske leverandørers standard for dataoverførsler. Siden har disse leverandørers forretningsmodel gjort det meget besværligt at opfylde GDPR-reglerne for de europæiske kunder, når der skulle ydes service og support uden for EU-området.
At EU-Kommissionen nu har godkendt den nye “databeskyttelsesramme” fra USA er en god nyhed for de store amerikanske leverandører, som Microsoft, Google, IBM, Apple, Amazon, Facebook, LinkedIn, X (tidligere Twitter) mv. som efter en certificering i USA nu lovligt vil kunne modtage persondata fra europæiske virksomheder og myndigheder.
“Den amerikanske databeskyttelsesramme er godkendt til at overholde EU’s Charter om fundamentale rettigheder. EU-domstolen underkendte Privacy Shield i 2020 med henvisning til Charteret, og derfor kunne der ikke overføres persondata fra Europa til USA uden meget komplicerede sikkerhedsforanstaltninger. Men det er fortid nu,” siger Henning Mortensen.
Selvom den nye databeskyttelsesramme EU-USA er godkendt af begge lande som et nyt overførselsgrundlag, er USA fortsat et usikkert tredjeland i GDPR-sammenhæng. Den nye aftale mellem Europa og USA omfatter kun dataoverførsler mellem EU og de 2500 certificerede virksomheder og organisationer i USA.
De 2500 certificerede i USA er antallet på nuværende tidspunkt. Listen kan blive længere, efterhånden som flere amerikanske virksomheder får øjnene op for aftalen.
Certificering
Amerikanske virksomheder kan tilslutte sig EU-US databeskyttelsesrammen ved at forpligte sig til at overholde et detaljeret sæt af regler og procedurer til at beskytte personlige data. F.eks. kravet om at slette personoplysninger, når de ikke længere er nødvendige til det formål, hvor de blev indsamlet. Og det gælder også, når persondata deles med en tredje part, som en underleverandør.
EU-borgere vil få adskillige klagemuligheder, hvis deres data behandles ulovligt af amerikanske virksomheder. Det omfatter gratis uafhængige tvistbilæggelsesmekanismer og et voldgiftspanel.
Derudover indeholder den amerikanske lovramme en række sikkerhedsforanstaltninger vedrørende adgangen til data, der overføres under rammen af amerikanske offentlige myndigheder, især til strafferetlige retshåndhævelses- og nationale sikkerhedsformål. Adgang til data er begrænset til, hvad der er nødvendigt og forholdsmæssigt for at beskytte den nationale sikkerhed.
EU-personer vil have adgang til en uafhængig og upartisk klagemekanisme vedrørende indsamling og brug af deres data af amerikanske efterretningstjenester, som omfatter en nyoprettet Data Protection Review Court (DPRC). Retten vil uafhængigt undersøge og afgøre klager, herunder ved at vedtage bindende afhjælpende foranstaltninger.
Henning Mortensen: “Der er selvfølgelig et par forbehold, kommuner og virksomheder skal være opmærksom på ved indgåelse af databehandleraftaler. Det er ikke kun databehandleren, der er certificeret, men de skal også tjekke om underdatabehandlerne også er certificerede eller bliver pålagt de samme sikkerhedskrav som databehandleren. Aftalen mellem EU og USA gælder kun tredjelandsoverførsler til USA, men alle de sædvanlige forhold i GDPR skal man fortsat leve op til”.
Aftalen er på prøve og skal løbende evalueres. Første gang efter et år. Først når der kommer overtrædelser af aftalen vil det nye dataoverførselsgrundlag komme til eksamen.
Be the first to comment