Er det nu slut med at sende persondata til USA – igen?

Først uproblematisk, så forbudt, så tilladt – og forbudt igen. Men siden 2023 har det været lovligt at sende persondata til USA, dog på et skrøbeligt juridisk grundlag.

Er alt nu fikset mht. USA og persondata?

Det er ingen hemmelighed, at det svært at hitte rede i, hvad der er op og ned, når det gælder persondata og USA. Så må persondata sendes til USA lige nu?

Lige nu er svaret ”ja”, men det kan ændre sig.

For at forstå hvorfor, må vi lidt tilbage i tiden.  Lige nu er det nemlig lovligt at sende persondata til USA, selvom det er omfattet af GDPR og som udgangspunkt ikke må behandles i USA. Det er fx på baggrund af det såkaldte ”EU-US Data Privacy Framework”.

Det er en godkendelsesordning, som selskaber i USA kan tilslutte sig. Den bygger på de tidligere tilsvarende ordninger Safe Harbor og Privacy Shield. Herefter kan modtageren behandle persondata, som om modtageren var inden for EU.

Status for EU-US Data Privacy Framework

Kernen i problemstillingen omkring persondataoverførslerne er, at der skal være proportionel adgang til persondata, også for persondata i USA. Det vil sige, at en amerikansk myndighed ikke bare må tilgå og frit behandle persondata underlagt GDPR uden god grund.

Hvis det præsidentielle dekret eller det uafhængige klagesystem fjernes, eller systemets reelle uafhængighed i øvrigt svækkes, forsvinder grundlaget dermed for EU-US Data Privacy Framework. Og det er netop den uafhængighed, der lige nu er i fare.

En del af systemet er det såkaldte ”Privacy and Civil Liberties Oversight Board (PCLOB)”. Denne enhed fører bl.a. tilsyn med, at de amerikanske efterretningstjenester overholder det præsidentielle dekret, som hele dataoverførelsen bygger på.

Enheden skal derfor have en vis uafhængighed. Den ser dog ud til at være under pres. I hvert fald har den amerikanske præsident fyret tre af de fem medlemmer af enheden. Og det er de tre medlemmer, som var fra et andet parti end præsidenten selv.

Det har givet en vis tvivl om PCLOBs fremtidige uafhængighed – og dermed realiteten i beskyttelsen af EU-borgere med EU-US Data Privacy Framework.

Det kan der ske

Den politiske indblanding i systemet i USA giver dog en vis uro. EU-US Data Privacy Frameworks risikerer at blive ugyldig på to måder.

Enten kan EU-Kommissionen nå frem til, at systemet i USA ikke længere er sikkert nok og dermed tilbagetrække godkendelsen. Sidste undersøgelse var i 2024 og næste er ikke planlagt før i 2027.

Alternativt kan en konkret sag blive rejst for EU-domstolen, der underkender systemet, som tilfældet var med Schrems I og II. Dette vil dog også tage noget tid.

Men for nuværende, er det fortsat lovligt at sende persondata omfattet af GDPR til USA under fx EU-US Data Privacy Framework.

Hvordan forbereder I jer?

Hvis EU-US Data Privacy Framework forsvinder, vil dette medføre usikkerhed

Hvis EU-US Privacy Framework bliver ugyldigt, skal der findes et andet juridisk grundlag for at sende persondata til USA. Her er EU-standardkontrakter/SCC’er et alternativ, der dog for forudsætter, at der udarbejdes såkaldte Transfer Impact Accessments/TIA.

Datatilsynet anbefaler, at man overvejer en alternativ plan, skulle EU-US Pricacy systemet forsvinde. I praksis bør man derfor få udarbejdet en exit-plan. Den bør beskrive, hvordan situationen håndteres, hvis man skal finde et alternativt grundlag for overførslerne.

Det er et velkendt system. Mellem 2020 og 2023 blev der i stor stil udarbejdet exit-planer, i tilfælde af at en løsning ikke blev fundet. Det er reelt det samme, man bør iværksætte nu.

Det er derfor en god idé at finde de gamle exit-planer frem og få dem opdateret nu.

Kontakt DAHL

Har du spørgsmål til din virksomheds overførsel af personoplysninger til USA eller til persondata generelt, er du altid velkommen til at kontakte  vores samarbejdspartner DAHL Advokatpartnerselskab og deres juridiske specialister. Ring på 88 91 91 00 eller skriv til shield@dahllaw.dk.

Skriv et svar

Din e-mailadresse vil ikke blive publiceret. Krævede felter er markeret med *