Datatilsynet advarer: EU-USA dataoverførsler truet af ny domstolsafgørelse
Datatilsynet opfordrer danske virksomheder til at handle nu efter en ny amerikansk domstolsafgørelse truer grundlaget for EU-USA Data Privacy Framework — den aftale der tillader overførsel af persondata til USA.
Danske virksomheder, der overfører persondata til USA via tjenester som Google, Microsoft, Meta og Amazon, er i farezonen. Det advarer Datatilsynet om i kølvandet på en ny domstolsafgørelse i USA, der kan ryste fundamentet under EU-USA Data Privacy Framework (DPF) — den aftale der siden 2023 har muliggjort lovlige dataoverførsler på tværs af Atlanten.
Hvad er sket?
En amerikansk forbundsdomstol har i en ny afgørelse sat spørgsmålstegn ved, om den amerikanske efterretningstjenesters adgang til europæernes persondata er tilstrækkelig begrænset. DPF-aftalen hviler netop på en forudsætning om, at USA's lovgivning giver europæiske borgere tilstrækkelig beskyttelse mod masseovervågning.
Hvis domstolens afgørelse holder, og spørgsmålet eskalerer til EU-Domstolen (CJEU), risikerer vi det scenarie, vi har set to gange før: at EU-USA-dataaftalen erklæres ugyldig. Det skete med Safe Harbor i 2015 og med Privacy Shield i 2020 (Schrems II-dommen).
Hvad skal virksomheder gøre NU?
Datatilsynet anbefaler, at virksomheder ikke venter på en EU-afgørelse, men allerede nu kortlægger deres dataoverførsler til USA og vurderer, om de har alternative overførselsgrundlag på plads.
De vigtigste trin er:
- Kortlæg dine dataoverførsler — hvilke systemer sender persondata til USA, og på hvilket grundlag?
- Vurder alternative grundlag — standardkontraktbestemmelser (SCC) kan bruges, men kræver supplerende foranstaltninger som kryptering og adgangsstyring
- Opdater risikovurderinger — gennemfør Transfer Impact Assessments (TIA) for kritiske behandlinger
- Hav en beredskabsplan — hvad gør I, hvis DPF pludselig erklæres ugyldigt?
Hvilke virksomheder er mest udsatte?
Alle virksomheder, der bruger amerikanske cloud-tjenester, HR-systemer, CRM-platforme eller marketingværktøjer, er potentielt berørte. Det gælder særligt virksomheder inden for sundhed, finans og HR, der behandler særligt følsomme personoplysninger.
Datatilsynet understreger, at uvidenheden ikke er en undskyldning — ansvaret for lovlig databehandling ligger hos den dataansvarlige, uanset om det er en leverandør der fejler.
Situationen er endnu ikke afklaret, men eksperter anbefaler at handle defensivt nu frem for at vente på at krisen er en realitet.
Kilde
Artikel baseret på: https://www.computerworld.dk/art/296121/datatilsynet-advarer-efter-bombe-under-dataoverfoersler-mellem-eu-og-usa-det-boer-du-goere-nu
Kilde: https://www.computerworld.dk/art/296121/datatilsynet-advarer-efter-bombe-under-dataoverfoersler-mellem-eu-og-usa-det-boer-du-goere-nu