Nyt om overførsel af personoplysninger til USA

Sommerens helt store GDPR-nyhed handler om brugen af amerikanske databehandlere og underdatabehandlere

Selv om dette emne nok ikke direkte berører jer, vil vi som en service give en kort opsamling og forklaring på hvad der er sket her hen over sommeren.

De seneste par år har det i praksis været tæt på umuligt for danske institutioner, virksomheder og myndigheder at benytte en databehandler/underdatabehandler fra USA på en lovlig måde.  Årsagen til dette var EU-domstolens såkaldte Schrems II-dom fra juli 2020.

Schrems II-dommen slog fast, at USA´s lovgivning om national sikkerhed var problematisk i forhold til GDPR-reglerne. Problemet var, at personer registreret i EU ikke var tilstrækkeligt sikret, når deres personoplysninger blev behandlet af amerikanske virksomheder, bl.a. fordi amerikanske myndigheder kunne få udleveret disse data direkte fra amerikanskejede virksomheder.

Den 10. juli 2023 har EU-Kommissionen, efter forhandlinger med USA, truffet en afgørelse, som betyder, at man i EU igen lovligt kan benytte en amerikansk databehandler eller underdatabehandler. Det kræver dog, at den amerikanske virksomhed forinden har certificeret sig hos USA's handelsministerium efter nogle nærmere fastsatte regler.

Aftalen mellem EU og USA er stadig meget ny, så Datatilsynet har endnu ikke opdateret deres vejledninger på området, så de passer til den nye retstilstand, og dermed afventer vi, hvordan vi konkret skal forholde os.

Hvad betyder alt dette for jeres institution?

At ”Schrems II-problemerne” nu er afklaret, har mest betydning for kommunen, da jeres fagsystemer og øvrige it-system jo primært stilles til rådighed via aftaler indgået med Københavns Kommune.

Når Datatilsynet har opdateret deres vejledninger, kan der dog være behov for, at I skal opdatere nogle af jeres GDPR-dokumenter. Vi melder det naturligvis ud til jer, når vi ved mere om dette.

Vi har også enkelte gange over de seneste år måtte fraråde en institution at indgå en aftale med en databehandler, fordi aftalen indebar behandling af personoplysninger via en amerikansk databehandler/underdatabehandler i strid med GDPR-reglerne. Med den nye aftale mellem EU og USA kan der være grundlag for at se på sådanne aftaler igen, hvis de fortsat er relevante for jer. Det kan dog give mening lige at afvente, hvad Datatilsynet melder ud på området her i løbet af efteråret.

I kan altid få konkret rådgivning om betydningen af ovennævnte og konkrete databehandleraftaler ved at kontakte os på DPOSI@kk.dk.