Afgørende GDPR-nyt: Nu kan man overføre personoplysninger til organisationer i USA, der er certificeret under ny aftale

Hos KreaKom har vi flere gange skrevet om spørgsmålet om overførsel af persondata til USA – nu er der endelig landet en aftale på det betændte GDPR-område

Efter den foregående aftale om overførsel af personoplysninger til tredjelande (Privacy-Shield) blev kendt ugyldig i 2020 (Schrems II-dommen), har man ventet på en løsning til at sikre, at virksomheder i EU kan anvende amerikanske virksomheders produkter og tjenester, og samtidig overholde GDPR-reglerne. En sådan aftale er nu landet.

EU-U.S. Data Protection Framework (EU-U.S. DPF), som aftalen kaldes, er oprettet mellem EU og USA, og den fastsætter en række databeskyttelsesretlige forpligtelser, som de organisationer, der certificerer sig under ordningen, skal overholde. Og netop dette er vigtigt: Der er nemlig ikke bare frit lejde til overførsel. Det kræver, at den amerikanske virksomhed er certificeret under den nye aftale.

”Der er ingen tvivl om, at det er en afgørende nyhed at starte sommeren på. Og ja, det handler om GDPR, men realiteten er, at det er afgørende for de fleste virksomheder, fordi så mange er fuldstændig afhængige af og anvender amerikanske virksomheders produkter og tjenester. Her får man altså igen en mulighed for at bruge disse og samtidig opfylde kravene i GDPR. Det er dog helt afgørende at være opmærksom på, at det er en ordning, hvor de enkelte amerikanske virksomheder først skal certificeres – så løsningen er der, men den er ikke helt live endnu. Men det kommer den forventeligt forholdsvist hurtigt.” siger Cecilie Kunz Paulsen, juridisk rådgiver hos Kreativitet & Kommunikation.

At aftalen lander nu, er ikke som sådan overraskende, da den har været længe undervejs. Men det er afgørende, at den nu er er her, så processen med at få den effektueret kan gå i gang.

Problematikken er nævnt i flere sammenhænge – bl.a. som afgørende for Google Analytics (læs mere her), og til dels også for brugen af Metas business tools (læs mere her).

”For dem, der siden 2020 enten bevidst eller ubevidst har lukket øjnene for det manglende gyldige overførselsgrundlag – hvilket har været tilfældet mange steder, fordi afhængigheden af de amerikanske virksomheder jo er så stor – er det nu muligt med lidt mere ro i maven, igen at kigge ind i deres overførsler til USA, og hvordan man forholder sig til dem. Så anbefalingen er afgjort, at man får kigget aktivt ned i sin datahåndtering, og får kortlagt, hvornår USA spiller en rolle, så man kan tjekke op på, at de løsninger og tjenester man bruger, bliver certificeret under den nye ordning, og så man kan agere derudfra.” siger Cecilie Kunz Paulsen.

Organisationen NOYB (Non of Your Business) er blandt de aktører, som ikke er imponerede over aftalen, og derfor har de også allerede luftet muligheden et sagsanlæg – som med flere foregående aftaler. Men indtil en eventuel afgørelse, så vil aftalen altså være gyldig.

Læs Datatilsynets take og Q&A om den internationale nyhed her.