Pas på med overførsel af persondata til USA

Privacy Shield-ordningen erklæres ugyldig

I sommerferien 2020 har EU-domstolen erklæret ordningen mellem EU og USA om beskyttelse af data der overføres til USA (Privacy Shield-ordningen) for ugyldig!

EU-domstolen har fundet, at Privacy Shield-ordningen ikke ydede europæiske persondata tilstrækkelig beskyttelse. Grunden til dette er, at myndigheder i USA relativt nemt har adgang til persondata.

Datatilsynet har skrevet om afgørelsen af 16. juli 2020 (Schrems II-dommen) på deres hjemmeside. Men det fremgår ikke særligt klart, hvor vidtrækkende afgørelsen er.

Det har indvirkning på alle, der erhvervsmæssigt overfører persondata fra EU til USA. Rigtig mange virksomheder i Danmark anvender programmer eller services, hvor persondata fra kunder, ansatte og samarbejdspartnere overføres til/gemmes på servere i USA.

Indtil juli 2020 har overførsel af persondata til USA kunnet foregå lovligt, hvis virksomheden og dens underdatabehandlere lovligt måtte behandle de pågældende data. Derudover skulle disse sendes på sikker vis til en underdatabehandler, der havde tilsluttet sig Privacy Shield-programmet. Dette er nu med virkning fra 16. juli 2020 ophørt. Der er ingen overgangsperiode.

Omfanget af afgørelsen fremgår af notatet fra Det Europæiske Databeskyttelsesråd, der kan ses her. Men der er foreløbig ikke anført nogen løsninger.

Datatilsynet har oplyst, at der pågår diskussioner, og at man ikke endnu har nogen tidsramme for en udmelding for, hvad der kan gøres.

Forhåbentlig findes på EU-niveau en løsning, som da Safe Harbour-ordningen blev skudt ned og senere erstattet af Privacy Shield-ordningen. Men det vides ikke, om det lykkes denne gang.

Foreløbigt er det en anledning til at få helt styr på, hvor ens virksomheds persondata behandles og gemmes og om GPDR er overholdt. Vi anbefaler derudover, om muligt, at rykke servere og behandling til EU/de sikre tredjelande.