EU-Kommissionen vedtager EU-US databeskyttelsesramme

EU-Kommissionen har vedtaget en tilstrækkelighedserklæring om persondatabeskyttelsen i USA, så lovligt indsamlede persondata om EU-borgere kan opbevares i USA. Dermed åbnes der for, at europæiske virksomheder igen kan bruge programmer som Google Analytics, når Google bliver godkendt under kravene i EU-USA databeskyttelsesrammen.

Europa-Kommissionen har mandag vedtaget tilstrækkelighedserklæringen for EU-USA databeskyttelsesrammen. Det betyder, at USA nu igen er klassificeret som sikkert 3. land, der har et tilstrækkeligt beskyttelsesniveau – sammenligneligt med EU’s – for persondata, der overføres fra EU til amerikanske virksomheder under den nye ramme.

Tilstrækkelighedserklæring gør det lovligt for amerikanske virksomheder at opbevare lovligt indsamlet persondata om EU-borgere i USA. På grundlag af EU-USA databeskyttelsesrammen kan personoplysninger strømme sikkert fra EU til amerikanske virksomheder, der godkendes inden for rammen, uden at skulle indføre yderligere databeskyttelsesforanstaltninger.

”EU-kommissionens vedtagelse af tilstrækkelighedserklæringen betyder, at vi nu bevæger os ud af det vakuum om håndtering af personoplysninger og brugen af amerikansk software, som har ramt både danske og amerikanske virksomheder. Som med den tidligere Privacy Shield ordning skal amerikanske virksomheder dog først godkendes, om de opfylder kravene i den nye databeskyttelsesramme. Men mon ikke de allerede står klar med ansøgningerne om godkendelse,” siger Sven Petersen, Erhvervsjuridisk Fagchef i Dansk Erhverv.

Hvad er EU-US Data Privacy Framework?

EU-U.S. Data Privacy Framework introducerer nye bindende sikkerhedsforanstaltninger for at imødegå alle de bekymringer, som EU-Domstolen har rejst, herunder begrænsning af adgangen til EU-data for amerikanske efterretningstjenester.

Amerikanske virksomheder vil kunne tilslutte sig EU-U.S. Data Privacy Framework ved at forpligte sig til at overholde et detaljeret sæt af privatlivsforpligtelser, for eksempel kravet om at slette personoplysninger, når de ikke længere er nødvendige til det formål, hvortil de blev indsamlet.

EU-borgere vil have adgang til en uafhængig og upartisk klagemekanisme vedrørende indsamling og brug af deres data af amerikanske efterretningstjenester, som omfatter en nyoprettet Data Protection Review Court (DPRC).

”Det er en fantastisk nyhed at gå på sommerferie med. Nu skal vi bare have de amerikanske virksomheder til at søge om at blive godkendt, bl.a. Google, for indtil de er godkendt, vil Google Analytics stadig være ulovlig at benytte”, siger Carsten Rose Lundberg, fagchef for digital handel i Dansk Erhverv.

Ingen roser uden torne, og flere kritiske røster fra bl.a. Europa Parlamentet og European Data Protection Board (EDPB) har allerede betegnet databeskyttelsesrammen som utilstrækkelig på flere områder, ligesom organisationen NOYB har bebudet nye sagsanlæg.

Læs mere om EU-USA databeskyttelsesrammen 

Datatilsynets omtale