Den 10. juli 2023 indførte Europa-Kommissionen en ny afgørelse om tilstrækkelighed inden for rammerne af EU-USA-databeskyttelsesrammen. Denne afgørelse er et svar på de udfordringer, som Schrems II-dommen fra 2020 medførte, da den ugyldiggjorde Privacy Shield-rammen. Dommen gjorde det vanskeligt at overføre data fra EU til USA inden for rammerne af GDPR.
Amerikanske foranstaltninger
Som svar på denne udfordring vedtog USA i oktober 2022 en bekendtgørelse, der indførte stærkere beskyttelse af europæiske borgeres data. Det er dog vigtigt at bemærke, at en bekendtgørelse ikke er en permanent løsning og kan ændres af fremtidige regeringer.
Efter en periode med gennemgang fandt Europa-Kommissionen, at disse ændringer i den amerikanske lovgivning var tilstrækkelige, hvilket førte til den nye afgørelse om tilstrækkelighed.
Ny beslutning fra Europa-Kommissionen
På trods af Europa-Kommissionens nye afgørelse om tilstrækkelighed er der stadig usikkerhed, især i betragtning af at de amerikanske myndigheder stadig har ret til at anmode om personoplysninger fra amerikanske cloud-udbydere inden for EU. Eksperter og kritikere, såsom Max Schrems fra organisationen NOYB, påpeger, at de grundlæggende problemer med de amerikanske overvågningslove fortsat eksisterer.
“We now had ‘Harbors’, ‘Umbrellas’, ‘Shields’ and ‘Frameworks’ — but no substantial change in US surveillance law.” - Max Schrems
Tre vigtige punkter vedrørende afgørelsen om tilstrækkelighed
Begrænsninger for dataoverførsler til USA
Modtagere af dataoverførsler i USA skal certificeres i henhold til afgørelsen om tilstrækkelighed. Afgørelsen tillader derfor ikke overførsler til USA generelt.
Den igangværende konflikt med GDPR
Ifølge NYOB giver amerikanske love myndighederne ret til at anmode om personoplysninger fra amerikanske cloud-tjenester i EU, hvilket er i strid med GDPR.
Beskyttelsesniveau i EU
Organisationer inden for EU skal sikre det beskyttelsesniveau, der kræves i GDPR. Beslutningen blev mødt med kritik af, at effektiv beskyttelse ikke kan garanteres, når lovgivningen i tredjelande kan tillade indgreb i europæiske borgeres rettigheder.
Vil du gerne uddybe din viden om, hvordan tilstrækkelighedsafgørelsen påvirker din virksomhed? Download vores guide til cloud-compliance for mere information.
