De fleste virksomheder overfører persondata til USA. Det kan f.eks. ske, når virksomheden bruger Microsoft, Dropbox og programmer fra andre virksomheder, der hører til i USA (f.eks. Cloud-løsninger).
De europæiske GDPR-regler er ikke identiske med de amerikanske regler, og USA har ikke haft et beskyttelsesniveau, der matchede de europæiske regler. Derfor har EU-Kommissionen ad flere omgange udarbejdet ordninger, der skulle sikre samarbejdet om persondata mellem EU og USA.
I den forbindelse er udarbejdet EU-US Data Privacy Framework og EU-Kommissionen har truffet afgørelse om, at det såkaldte EU-US Data Privacy Framework medfører et tilstrækkeligt beskyttelsesniveau, når der overføres persondata fra EU til USA.
Afgørelsen medfører, at virksomheder skal certificeres under ordningen og skal overholde ordningens forpligtelser. Herefter kan man overføre persondata til de certificerede virksomheder og fortsat overholde de europæiske regler. Man kan kun overføre persondata til USA, hvis man overfører data til virksomheder, der er certificerede.
Afgørelsen vil medføre, at Datatilsynet vil opdatere deres vejledninger i den kommende tid, og det er derfor vigtigt at holde øje med de nye vejledninger og Datatilsynets hjemmeside.
Det er dog vigtigt at nævne, at EU-US Data Privacy Framework kan blive underkendt i EU-domstolen, ligesom tidligere samarbejdsaftaler er blevet underkendt.
Der er med andre ord ingen garanti for, at den nugældende ordning bliver opretholdt på længere sigt.
august 2023