Gemt

Personoplysninger kan igen overføres til USA

22. august 2023

Af Tina Morell

Glæden var stor, da EU Kommissionen den 11. juli 2023 kunne meddele, at det nu er sikkert at overføre personoplysninger til de virksomheder i USA, der er certificeret under ”EU-U.S. Data Privacy Framework”.

Dermed blev en kæmpe hurdle ryddet af vejen. Rigtig mange af Dansk Erhvervs medlemmer har lige siden EU domstolens Schrems II afgørelse i 2020 levet med en usikkerhed omkring, hvorvidt lige netop deres brug af amerikanske IT services nu var lovlig. Mange har desuden brugt mange penge på rådgivning og dokumentation i forbindelse med udarbejdelsen af Transfer Impact Assesments. Nu er tingene blevet lettere, men der er stadig en del overvejelser man skal igennem, jf nedenfor.

Hvordan finder jeg ud af, om en virksomhed er certificeret?
Du kan tjekke, om en virksomhed er certificeret her ved at klikke på fanen ”Data Framework Privacy List” og indtaste virksomhedens navn. Det er også muligt at søge i en alfabetisk oplistning af alle certificerede virksomheder.

Pligt til at oplyse, at der er truffet en ”tilstrækkelighedsafgørelse”
Hvis du deler oplysninger med en amerikansk virksomhed, der er certificeret under ordningen, skal du oplyse i din persondata- eller privatlivspolitik, at virksomheden (navn) er certificeret under EU-U.S. Data Privacy Framework. (artikel 13, stk. 1, litra f.)

Øvrige krav i GDPR skal også være opfyldt
Datatilsynet har fundet anledning til at præcisere, at en certificering ikke er en blåstempling af enkelte virksomheder. Øvrige krav i GDPR skal også være opfyldt. Læs Datatilsynets udtalelse her

Det betyder, at du som ved enhver anden behandling af personoplysninger bl.a. skal sikre, at du har et behandlingsgrundlag og at du har en databehandleraftale, hvis den amerikanske virksomhed er databehandler for dig, samt at du har indgået en aftale om delt dataansvar med virksomheden, hvis det er nødvendigt, fordi du fx videregiver oplysninger til et socialt medie, og I begge bruger personoplysningerne til jeres egne formål. Du skal også sikre, at den registrerede person modtager oplysninger om sine rettigheder.

Datatilsynet opfordrer til, at man genlæser tilsynets vejledning om cloud - særligt de afsnit, der vedrører ”Kend dine services” og ”Kend din leverandør” - og noterer sig de forhold, tilsynet vil kræve dokumenteret ved brug af en given service.

Datatilsynets nyhed om tilstrækkelighedsafgørelse vedrørende USA

Læs eller genlæs Dansk erhvervs nyhed om overførsel af personoplysninger til USA

{{title}}

{{name}}

{{title}}

{{subCard.title}}

{{title}}

{{newsletter.name}}

{{title}}

{{Headline}}

{{fetchFailed}}

{{title}}

Generer URL til avanceret søgefiltrering her

Resultat:

Anchor

Søgetekst

Fra & Til

Filtrer

{{filterGrp.label}}

{{title}}

{{filter.label}}

{{data.labels.headline}}

{{data.labels.headline}}

Generer URL til søgefiltrering her

Resultat:

Anchor

Filter

Segmenter

{{CategoryTitle(segmentGroup[0])}}

{{SelectedSpeaker.name}}

{{SelectedPerson.name}}

{{labels.error}}

{{labels.noResults}}

{{labels.error}}

{{labels.noResults}}

{{subCard.title}}

{{title}}

{{data.labels.title}}

{{data.affiliation.title}}

{{ProfileSection.title}}

{{CompanyUnionTitle}}

{{memberType.receiptTitle}}

{{headline}}

{{textLabels.title}}

{{textLabels.errorLabel}}

{{textLabels.successTitle}}

{{item.headLine}}

{{data.headline}}

{{data.card.title}}

{{data.card.name}}

{{title}}

{{data.title}}

{{data.title}}

{{data.successHeadline}}

{{item.title}}

{{item.title}}

{{item.text}}

{{item.text}}

{{submitErrorLabel}}

{{textLabels.successLabel}}

{{textLabels.newsletterCheckboxesErrorLabel}}

{{textLabels.title}}

{{textLabels.errorLabel}}

{{textLabels.partialErrorLabel}}

{{textLabels.successLabel}}

{{data.title}}

{{title}}

{{item.title}}

{{speaker.name}}

{{item.title}}

{{speaker.name}}

{{data.title}}

{{data.headline}}

{{errorTitle}}

{{noResultsTitle}}

{{title}}

{{item.title}}

{{item.title}}

{{data.headline}}

{{data.headline}}

{{data.headline}}

{{data.labels.noEvents}}