.legal blog

Schrems II-aftale mellem EU og USA

Skrevet af Johannes Eyolf Aagaard | 8 august, 2023

Den 10. juli besluttede EU-Kommissionen, at det såkaldte “EU-U.S. Data Protection Framework” sikrer et tilstrækkeligt beskyttelsesniveau for overførsel af personoplysninger fra EU til USA.

Tilstrækkelighedsafgørelsen indebærer, at organisationer omfattet af GDPR kan overføre personoplysninger til USA uden at skulle tilvejebringe et overførselsgrundlag i GDPR artikel 46. Det indebærer i praksis, at organisationer fremadrettet fx hverken skal indgå EU-Kommissionens Standardkontraktbestemmelser eller udarbejde Transfer Impact Assessments (TIA) som en betingelse for at overføre personoplysninger til databehandlere, underdatabehandlere eller dataansvarlige i USA.

Det er dog i stedet en betingelse for at overføre personoplysninger til USA, at modtagerorganisationen har certificeret sig under Aftalen via det amerikanske handelsministerium. Listen over certificerede organisationer kan findes her. I skal derfor fortsat udarbejde TIA og et overførselsgrundlag, hvis modtagerorganisationen i USA ikke har certificeret sig under Aftalen.

Vi har selvfølgelig foretaget nogle ændringer i Privacy, så der leves op til den nye aftale. Det betyder, at du nu kan vælge “EU-U.S. Data Protection Framework” i dropdownen “Overførselsgrundlag” under “Delinger”. Vælges denne skal du ikke udarbejde en TIA.

Du bør foretage én af følgende valgmuligheder i Privacy:

1) Opdatér beskyttelsesniveau på selskaber
Gennemgå listen over dine selskaber og filtrer USA ud i filteret “Lande”, sammenhold din liste med listen over certificerede organisationer. På de selskaber der fremgår af listen, kan du angive beskyttelsesniveauet til “EU-U.S. Data Protection Framework”.

Tryk “Rediger selskab” og vælg “EU-U.S. Data Protection Framework” i dropdownen der er navngivet “Beskyttelsesniveau”. Markér boksen: “Overfør overførselsgrundlag”, hvilket gør, at alle nuværende delinger til dette selskab bliver opdateret på én gang. Fremadrettet vil nye delinger til dette selskab automatisk få overførselsgrundlaget tilknyttet.

Afslut ved at trykke “Gem” og herefter kan du gå videre til næste selskab.

2) Opdatér overførselsgrundlag på alle delinger

Gå til lister over delinger. Vælg listen “Oversigt over overførsler af personoplysninger til lande uden for EU/EØS (tredjelandsoverførsler)”. Her får du et overblik over alle delinger til usikre tredjelande, på tværs af dine behandlingsaktiviteter. Du skal forholde dig til alle de delinger, hvor modtagerlandet er USA, hvorefter du skal orientere dig om, om modtagerorganisationen er på listen over certificerede organisationer eller ej.

Hvis modtagerorganisationen er på listen:

  • Åben delingen (kan være lavet manuelt eller oprettet via system)
  • Du kan opdatere overførslesgrundlag til det nye “EU-U.S. Data Protection Framework”
  • Tjek om modtagerorganisationens underdatabehandlere i USA også er på listen.
  • Hvis de er det, kan du nu ændre overførelsesgrundlaget til “EU-U.S. Data Protection Framework”.

Hvis modtagerorganisationen ikke er på listen:

  • Du skal fortsat sikre dig, at der er et gyldigt overførselsgrundlag på delingen
  • Du skal stadig sikre dig, at der er udarbejdet en TIA på modtagerorganisationen

Du kan læse mere om nyheden her.

Du kan med gennemgå din data mapping og risikovurderinger og se om disse kræver opdateringer.