Det er ingen hemmelighed, at det svært at hitte rede i, hvad der er op og ned, når det gælder persondata og USA. Så må persondata sendes til USA lige nu?
Lige nu er svaret ”ja”, men det kan ændre sig.
For at forstå hvorfor, må vi lidt tilbage i tiden. Lige nu er det nemlig lovligt at sende persondata til USA, selvom det er omfattet af GDPR og som udgangspunkt ikke må behandles i USA. Det er fx på baggrund af det såkaldte ”EU-US Data Privacy Framework”.
Det er en godkendelsesordning, som selskaber i USA kan tilslutte sig. Den bygger på de tidligere tilsvarende ordninger Safe Harbor og Privacy Shield. Herefter kan modtageren behandle persondata, som om modtageren var inden for EU.
Hvad er EU-US Data Privacy Framework?
EU-US Data Privacy Framework bygger på en række særregler, som blev implementeret i USA i 2023. De skulle samlet skabe tilstrækkelig sikkerhed for behandlingen af EU-borgeres persondata i USA.
Det oprindelige problem var grundlæggende, at myndighederne i USA havde for bred adgang til persondata uden ordentlig domstolskontrol eller klageadgang for EU-borgere.
Implementeringen af løsningen skete i USA ved såkaldt præsidentielt dekret. Dette indførte bl.a. bindende sikkerhedsforanstaltninger, som begrænser de amerikanske efterretningstjenester adgang til data, en uafhængig og upartisk klagemekanisme samt en adgang for EU-borgere til at få domstolsprøvet indsamlingen af deres persondata i USA. På baggrund heraf vurderede EU-Kommissionen i 2023, og igen i 2024, at persondata sikkert kunne sendes til USA.
Status for EU-US Data Privacy Framework
Kernen i problemstillingen omkring persondataoverførslerne er, at der skal være proportionel adgang til persondata, også for persondata i USA. Det vil sige, at en amerikansk myndighed ikke bare må tilgå og frit behandle persondata underlagt GDPR uden god grund.
Hvis det præsidentielle dekret eller det uafhængige klagesystem fjernes, eller systemets reelle uafhængighed i øvrigt svækkes, forsvinder grundlaget dermed for EU-US Data Privacy Framework. Og det er netop den uafhængighed, der lige nu er i fare.
En del af systemet er det såkaldte ”Privacy and Civil Liberties Oversight Board (PCLOB)”. Denne enhed fører bl.a. tilsyn med, at de amerikanske efterretningstjenester overholder det præsidentielle dekret, som hele dataoverførelsen bygger på.
Enheden skal derfor have en vis uafhængighed. Den ser dog ud til at være under pres. I hvert fald har den amerikanske præsident fyret tre af de fem medlemmer af enheden. Og det er de tre medlemmer, som var fra et andet parti end præsidenten selv.
Det har givet en vis tvivl om PCLOBs fremtidige uafhængighed – og dermed realiteten i beskyttelsen af EU-borgere med EU-US Data Privacy Framework.
Det kan der ske
Den politiske indblanding i systemet i USA giver dog en vis uro. EU-US Data Privacy Frameworks risikerer at blive ugyldig på to måder.
Enten kan EU-Kommissionen nå frem til, at systemet i USA ikke længere er sikkert nok og dermed tilbagetrække godkendelsen. Sidste undersøgelse var i 2024 og næste er ikke planlagt før i 2027.
Alternativt kan en konkret sag blive rejst for EU-domstolen, der underkender systemet, som tilfældet var med Schrems I og II. Dette vil dog også tage noget tid.
Men for nuværende, er det fortsat lovligt at sende persondata omfattet af GDPR til USA under fx EU-US Data Privacy Framework.
Hvordan forbereder I jer?
Hvis EU-US Data Privacy Framework forsvinder, vil dette medføre usikkerhed
Hvis EU-US Privacy Framework bliver ugyldigt, skal der findes et andet juridisk grundlag for at sende persondata til USA. Her er EU-standardkontrakter/SCC’er et alternativ, der dog for forudsætter, at der udarbejdes såkaldte Transfer Impact Accessments/TIA.
Datatilsynet anbefaler, at man overvejer en alternativ plan, skulle EU-US Pricacy systemet forsvinde. I praksis bør man derfor få udarbejdet en exit-plan. Den bør beskrive, hvordan situationen håndteres, hvis man skal finde et alternativt grundlag for overførslerne.
Det er et velkendt system. Mellem 2020 og 2023 blev der i stor stil udarbejdet exit-planer, i tilfælde af at en løsning ikke blev fundet. Det er reelt det samme, man bør iværksætte nu.
Det er derfor en god idé at finde de gamle exit-planer frem og få dem opdateret nu.
Kontakt DAHL
Har du spørgsmål til din virksomheds overførsel af personoplysninger til USA eller til persondata generelt, er du altid velkommen til at kontakte vores samarbejdspartner DAHL Advokatpartnerselskab og deres juridiske specialister. Ring på 88 91 91 00 eller skriv til shield@dahllaw.dk.