I forbindelse med overførsel af personoplysninger fra EU til USA har EU-Kommissionen den 10. juli 2023 fastslået at det såkaldte ”EU-U.S. Data Privacy Framework” må anses for at sikre et tilstrækkeligt beskyttelsesniveau.  

Denne tilstrækkelighedsafgørelse kan dog kun anvendes som overførselsgrundlag, såfremt organisationen i USA hvortil der overføres personoplysninger, er certificeret under EU-U.S. Data Privacy Framework hos det amerikanske handelsministerium. Når en organisation er certificeret, fremgår den af ’Data Privacy Framework List’. Listen findes her. 

Hvad betyder Kommissionens tilstrækkelighedsafgørelse i praksis?

• Hvis organisationen i USA derimod er certificeret, kan organisationer fra EU/EØS fra ikrafttrædelsen af Kommissionens tilstrækkelighedsafgørelse d. 10. juli 2023 overføre personoplysninger til de omfattede organisationer uden at tilvejebringe et overførselsgrundlag efter databeskyttelsesforordningens artikel 46. I sådanne tilfælde hvor overførslen baseres på Kommissionens tilstrækkelighedsafgørelse, er det ikke nødvendigt at organisationer i EU/EØS  i forbindelse med overførslen etablerer effektive supplerende foranstaltninger. 

• Overførsler til organisationer i USA som ikke er certificeret, kan ikke ske på baggrund af Kommissionens tilstrækkelighedsafgørelse. I disse tilfælde vil det derved forsat være nødvendigt at etablere et overførselsgrundlag i henhold til databeskyttelsesforordningens artikel 46. Typisk vil dette betyde at der skal anvendes standardkontrakter (SCC) som ved overførsler til tredjelande uden et tilstrækkeligt sikkerhedsniveau og udarbejdes en Transfer Impact Assessment (TIA) for overførslen som hidtil.  

• Vær ekstra opmærksom: Såfremt en organisation i EU/EØS overfører personoplysninger til en databehandler i USA som er certificeret, men som anvender underdatabehandlere, der ikke er certificeret, gælder Kommissionens tilstrækkelighedsafgørelsen ikke i forhold til underdatabehandlerne. Dette betyder at der ved sådanne videreoverførsler skal etableres et nyt overførelsesgrundlag (eksempelvis en SCC). Derudover vil der også eventuelt skulle fastsættes effektive supplerende foranstaltninger for derigennem at opnå et beskyttelsesniveau, der svarer til det i EU/EØS.

Kan tilstrækkelighedsafgørelsen blive underkendt? 

Historikken fortæller os at det ikke er usandsynligt at EU-U.S. Data Privacy Framework ikke holder på længere sigt. Max Schrems, den østrigske aktivist og advokat, fik de to tidligere amerikanske tilstrækkelighedsafgørelser – Safe Habor og Privacy Shield – underkendt af EU-Domstolen, idet det amerikanske beskyttelsesniveau ikke var tilsvarende beskyttelsesniveauet inden for EU/EØS. Schrems og hans hold bag, None of Your Business (NOYB), har allerede erklæret, at de vil udfordre Kommissionens nye tilstrækkelighedsafgørelse ved at indbringe en ny klage for EU-Domstolen. Om den nye tilstrækkelighedsafgørelse bliver underkendt, vides ikke endnu, men indtil da kan overførsel af personoplysninger til amerikanske virksomheder, der fremgår af ’Data Privacy Framework List’ foretages uden yderligere overførselsgrundlag.