Der er grund til begejstring for danske virksomheder, der nu kan overføre personoplysninger lovligt til USA uden at skulle etablere et overførselsgrundlag. Det skyldes, at Europa-Kommissionen har blåstemplet USA’s beskyttelsesniveau af persondata på lige fod med niveauet i Europa.

Af Martin Jørgensen, Advokat og chefkonsulent, Dansk Erhverv

Europa-Kommissionen har blåstemplet USA’s beskyttelsesniveau af persondata på lige fod med niveauet i Europa gennem EU-U.S. Data Privacy Framework. Dermed er det reelt blevet muligt for virksomhederne at bruge amerikanske cloudtjenester. Til gavn for fair og lige konkurrence på tværs af Atlanten.

For danske virksomheder betyder det i praksis, at det ikke længere er nødvendigt at bruge tid og kræfter på de tidligere krav om supplerende sikkerhedsforanstaltninger, der kunne være en udfordring, når amerikanske tjenester skulle benyttes. I stedet kan man nu frit benytte amerikanske udbydere, der har registreret sig under ordningen, med vished om, at sikkerheden er i orden.

Allerede nu har techgiganter som Microsoft og Google Analytics registreret sig.

Ligestillet sikkerhedsniveau
Med aftalen har Europa-Kommissionen konkluderet, at sikkerhedsniveauet for persondata i USA sidestilles med niveauet i EU. Samtidig er amerikanske myndigheders adgang til EU-data begrænset til, hvad der er rimeligt i EU-perspektiv. Især spørgsmålet om den amerikanske efterretningstjenestes adgang til persondata fra EU har været essentielt for den endelige aftale.

Men en amerikansk lovgivningsændring, der betyder, at masseovervågning kun må anvendes proportionalt, har været med til at bane vejen for aftalen, ligesom det faktum, at det er muligt at klage over amerikanske efterretningstjenesters indsamling og brug af persondata.

Vigtige forbehold
Det er vigtigt at understrege, at aftalen omfatter organisationer i USA, der er certificeret gennem den såkaldte Data Privacy Framework List. Hvis en amerikansk organisation er på listen, vurderes organisationen at kunne beskytte personoplysninger tilstrækkeligt ud fra EU-standard.

Europæiske virksomheder, der udveksler personoplysninger over Atlanten, skal ikke kun sikre, at der et overførselsgrundlag på plads, men også efterleve de øvrige krav, GDPR stiller til behandling af personoplysninger. Det gælder blandt andet hjemmel til at behandle persondata og opfyldelse af de registreredes rettigheder.

Desuden er det vigtigt, at virksomheder har styr på, om personoplysninger deles videre fra USA til andre lande, for eksempel via de amerikanske virksomheders underdatabehandlere, da Data Privacy Framework kun dækker dataoverførsler til USA.