Data Privacy Framework

EU-US Data Privacy Framework (DPF) er den juridiske ramme, der goer det lovligt at overfoere persondata fra EU til certificerede amerikanske virksomheder. EU-Kommissionen vedtog tilstraekkelighedsafgoerelsen 10. juli 2023, og afgoerelsen erstatter den underkendte Privacy Shield-aftale fra 2016.

Tilbage til ordbog

Hvad er Data Privacy Framework?

Data Privacy Framework er en aftale mellem EU og USA, der loeser et af de stoerste problemer i international databeskyttelse: hvordan overfoerer man persondata fra EU til USA paa en lovlig maade. EU-Kommissionen vedtog tilstraekkelighedsafgoerelsen 10. juli 2023, og siden da har certificerede amerikanske virksomheder kunnet modtage persondata fra EU uden yderligere kontraktuelle eller tekniske sikkerhedsforanstaltninger.

Den fulde betegnelse er EU-US Data Privacy Framework, ofte forkortet til DPF. Aftalen fungerer som EU-Kommissionens vurdering af, at USA, for de virksomheder der tilslutter sig DPF, sikrer et beskyttelsesniveau, der i det vaesentlige svarer til GDPR.

Kort fortalt: Hvis din amerikanske leverandoer er DPF-certificeret, kan du overfoere persondata til dem paa samme grundlag, som hvis modtageren laa i et EU-land. Du behoever ikke standardkontraktbestemmelser eller en konsekvensanalyse for selve overfoerslen.

Fra Safe Harbor til DPF

DPF er det tredje forsoeg paa at skabe en holdbar ramme for transatlantiske dataoverfoersler. Historien forklarer, hvorfor mange jurister er forbeholdne over for ordningen:

Safe Harbor (2000-2015): Den foerste aftale. EU-Domstolen underkendte den i Schrems I-dommen, fordi USA's masseovervaagning ikke var forenelig med EU-borgeres rettigheder.
Privacy Shield (2016-2020): Efterfoelgeren med strammere krav. Den blev underkendt i Schrems II i juli 2020, igen fordi EU-Domstolen vurderede, at amerikanske efterretningstjenester havde for vidtgaaende adgang til persondata, og at EU-borgere ikke havde reel klageadgang.
Data Privacy Framework (2023-): Den nuvaerende ordning. Bygger paa en praesidentiel bekendtgoerelse (Executive Order 14086) udstedt af Joe Biden i oktober 2022, der begraenser amerikanske efterretningstjenesters dataadgang og opretter en uafhaengig Data Protection Review Court.

Mellem Schrems II i 2020 og DPF i 2023 var der en periode, hvor virksomheder skulle bruge databehandleraftaler kombineret med standardkontraktbestemmelser og en konkret risikovurdering for hver overfoersel. Det var en stor administrativ byrde, og DPF loeser den for de virksomheder, der vaelger at certificere sig.

Hvordan fungerer DPF i praksis?

DPF er en frivillig selvcertificeringsordning. En amerikansk virksomhed gennemgaar en proces hos US Department of Commerce og forpligter sig til at overholde et saet principper, der minder om GDPR:

Oplysningspligt: Virksomheden skal informere de registrerede om databehandlingen.
Valgfrihed: De registrerede skal have mulighed for at fravaelge visse typer behandling, fx markedsfoering.
Ansvarlighed for videreoverfoersel: Hvis data sendes videre til en tredjepart, skal den tredjepart ogsaa beskytte dataene paa et tilsvarende niveau.
Sikkerhed og dataintegritet: Tekniske og organisatoriske foranstaltninger paa linje med GDPR's krav.
Adgang og klageadgang: De registrerede har ret til indsigt og kan klage til den nye Data Protection Review Court (DPRC).

Certificeringen koster et aarligt gebyr og skal fornyes hvert aar. Listen over certificerede virksomheder er offentlig og kan slaas op paa dataprivacyframework.gov. Naar en virksomhed staar paa listen som "Active", kan du som dataansvarlig i EU lovligt overfoere persondata til dem.

Hvad betyder DPF for din virksomhed?

Hvis du bruger amerikanske leverandoerer, eksempelvis cloud-hosting, e-mailmarketing, CRM eller analytics, gaelder foelgende:

Tjek om leverandoeren er DPF-certificeret. Slaa op paa dataprivacyframework.gov. Hvis status er "Active", kan du bruge DPF som overfoerselsgrundlag.
Tjek hvilke datakategorier certificeringen daekker. Nogle virksomheder er kun certificeret til almindelige persondata, andre ogsaa til HR-data. Det betyder noget, hvis du fx bruger leverandoeren til medarbejderdata.
Dokumenter dit overfoerselsgrundlag. I din artikel 30-fortegnelse skal det fremgaa, at overfoerslen sker paa baggrund af DPF, og at du har verificeret certificeringen.
Behold backup-mekanismer for usikrede leverandoerer. Ikke alle amerikanske leverandoerer er certificeret. For dem skal du fortsat bruge standardkontraktbestemmelser og lave en transfer impact assessment.

Vigtigt: DPF daekker kun overfoersler til USA. Hvis din amerikanske leverandoer har underdatabehandlere i andre tredjelande (fx Indien eller Filippinerne), skal de overfoersler stadig bygge paa et andet grundlag, typisk standardkontraktbestemmelser.

Brug af DPF fritager dig ikke fra de oevrige GDPR-krav. Du skal stadig have et behandlingsgrundlag efter artikel 6, du skal stadig opfylde din oplysningspligt, og du skal stadig haandtere de registreredes rettigheder. DPF loeser kun spoergsmaalet om overfoersel til tredjeland.

Risikoen for Schrems III

Den oestrigske aktivist Max Schrems, der staar bag baade Schrems I og Schrems II, har offentligt varslet en sag mod DPF. Argumentet er, at en praesidentiel bekendtgoerelse kan traekkes tilbage af et nyt embede, og at den nye Data Protection Review Court ikke er en domstol i traditionel forstand, fordi den er placeret i den udoevende magt.

Hvis EU-Domstolen underkender DPF, vil amerikanske leverandoerer igen skulle overfoere paa baggrund af standardkontraktbestemmelser, og virksomheder skal lave en konkret risikovurdering for hver overfoersel. Det er et scenarie, du boer planlaegge for, saerligt hvis du har kritiske leverandoerer i USA.

Vores praktiske anbefaling er at have standardkontraktbestemmelser klar som backup, ogsaa for DPF-certificerede leverandoerer. Det er en lille administrativ ekstra, der kan spare dig for et hovedbrud, hvis ordningen falder.

Ofte stillede spørgsmål om data privacy framework

Hvad er Data Privacy Framework?

EU-US Data Privacy Framework (DPF) er en aftale mellem EU og USA, der goer det lovligt at overfoere persondata fra EU til amerikanske virksomheder, der er certificeret under ordningen. EU-Kommissionen vedtog tilstraekkelighedsafgoerelsen 10. juli 2023.

Hvordan ved jeg, om en amerikansk leverandoer er DPF-certificeret?

Du kan slaa leverandoeren op paa den officielle liste paa dataprivacyframework.gov. Her kan du ogsaa se, om certificeringen er aktiv, og hvilke datakategorier den daekker (HR-data eller almindelige persondata).

Skal jeg stadig bruge standardkontraktbestemmelser, hvis leverandoeren er DPF-certificeret?

Nej, ikke for selve overfoerslen. DPF fungerer som juridisk grundlag paa samme maade som EU-Kommissionens oevrige tilstraekkelighedsafgoerelser. Mange virksomheder vaelger dog at have SCC'er som backup, hvis DPF en dag skulle blive underkendt.

Er DPF det samme som Privacy Shield?

Nej. Privacy Shield blev underkendt af EU-Domstolen i 2020 (Schrems II). DPF er en ny aftale med yderligere beskyttelser, herunder en uafhaengig Data Protection Review Court, der skal haandtere klager fra EU-borgere over amerikansk efterretningsadgang.

Kan DPF blive underkendt ligesom Privacy Shield?

Ja, det er en reel risiko. Aktivisten Max Schrems har allerede varslet en sag (uformelt kaldet Schrems III). Indtil videre er DPF gyldig, men det er klogt at have en plan B i form af standardkontraktbestemmelser.