Dataoverførsler til USA

 

Privacy Shield er yt og SCC’er er in! – Og så alligevel ikke helt

EU Domstolen har underkendt EU Kommissionens aftale om dataoverførsler til USA.

Det betyder, at livligheden af en dataoverførsel til USA ikke længere kan baseres på Privacy Shield. Der findes dog en række andre muligheder. Et alternativ er SCC’er eller Standard Contractual Clauses, som de også kaldes – mest af jurister.

Problemet er dog, at uanset hvilket juridisk grundlag, man anvender for at lovliggøre en dataoverførsel ud af EU/EØS, så skal der altid tages stilling til fire forudsætninger. Hvis ikke alle forudsætningerne opfyldes, må overførslen af oplysninger slet ikke udføres.

Helt grundlæggende handler vurdering om, at der i al væsentlighed skal være samme beskyttelse af de registrerede og deres oplysninger i det land, som oplysningerne overføres til.

 

dataoverførsel-til-usa-schremsll

 

Ny EU dom

 

I den netop afsagte EU dom: Schrems II, konkluderer EU Domstolen, at beskyttelsesniveauet i USA ikke er højt nok. Det er blandt andet på grund af USA’s overvågningsapparat og manglen på reelle muligheder for at gøre indsigelse.

Når nu USA helt grundlæggende ikke yder den nødvendige beskyttelse af de registrerede, kan der derfor slet ikke laves lovlige dataoverførsler af personoplysninger til USA. Det resultat bliver ikke ændret af, at man bruger SCC’er eller et andet juridisk instrument. Rent juridisk er det derfor med Schrems II afgørelsen blevet ulovligt at overføre personoplysninger til USA.

Det er dog ikke første gang dette sker.

For nogle år siden blev Safe Harbour ordningen underkendt og efterfølgende erstattet af Privacy Shield. Det er svært at spå om fremtiden, men der er mange, mange penge på spil, når det kommer til udvekslingen af data mellem EU og USA.

Det må derfor forventes, at der kommer en løsning.

Løsningen kunne være en ændring af GDPR, som lemper kravene til tredjelandsoverførsler, men det er ikke et hurtigt tiltag, som klares fra den ene dag til den anden.

Overfører man oplysninger til USA er man rent juridisk forpligtet til at afbryde sine overførsler. Alternativt må man med åbne øjne løbe den risiko, der er for at blive taget af Datatilsynet og vente på, at der kommer en international løsning.

 

Læs også indlægget Er DropBox GDPR compliant?

 

Ønsker du flere informationer omkring dataoverførsler til USA?

 

Vi hos LegalTech Denmark overfører ikke personoplysninger til USA, men Daniel sidder klar ved telefonen til at snakke sagen igennem med jer, hvis I har spørgsmål.

Du kan ringe til Daniel på +45 2095 8566.