fordele ved uk us data bridge blog

Hvorfor det er tid til at låse op for fordelene ved UK-US Data Bridge

I slutningen af ​​september meddelte den britiske regering en ny tilstrækkelighedsaftale med USA designet til at muliggøre mere problemfri grænseoverskridende datastrømme. I teorien vil det sikre, at personoplysninger om britiske statsborgere, der er gemt af amerikanske virksomheder, stadig vil bevare det samme niveau af GDPR-beskyttelse, som hvis de var bosat i Storbritannien eller EU-lande. Måske endnu vigtigere for virksomheder, bør denne såkaldte "UK-US data bridge" hjælpe virksomheder med at reducere deres overholdelse og lovgivningsmæssige byrder.

Hvad er databroen?

Databroen mellem Storbritannien og USA er i realiteten en udvidelse af den nye EU-US Data Privacy Framework (DPF), som selv er efterfølgeren til EU-US Privacy Shield, som EU-domstole slog ned efter Schrems II-dommen i juli 2020. Det har til formål at give retssikkerhed for organisationer, der ønsker at overføre personoplysninger omfattet af GDPR og UK GDPR til USA på en måde, der er fuldt ud i overensstemmelse med EU's og Storbritanniens databeskyttelseslovgivning.

Det vil erstatte mere uhåndterlige metoder til overførsel af data fra Storbritannien til USA, såsom via den britiske version af standardkontraktklausulerne, den internationale dataoverførselsaftale eller andre "passende sikkerhedsforanstaltninger", der er beskrevet i UK GDPR.

Hvordan virker det?

Den nye databro mellem Storbritannien og USA vil fungere på næsten identisk måde med DPF mellem EU og USA. Faktisk skal amerikanske organisationer allerede deltage i DPF for at kunne bruge databroen. Den bliver tilgængelig fra den 12. oktober 2023, hvor hundredvis af amerikanske virksomheder allerede har angivet, at de har til hensigt at deltage.

Amerikanske organisationer, der er certificeret under DPF, kan blot udvide deres certificering til at dække dataoverførsler fra Storbritannien ved at vælge den relevante mulighed via deres online DPF-konto.

Nogle undtagelser

Storbritanniens privatlivsregulator Information Commissioner's Office (ICO) har afgivet udtalelse på databroen, som advarer om, at visse kategorier af data ikke behandles som følsomme under DPF. Derfor skal følgende fremhæves over for amerikanske organisationer, der deltager i broen, at de skal behandles som følsomme:

  • Data om strafbare handlinger
  • Genetiske data
  • Biometriske data bruges til entydigt at identificere en person
  • Data om seksuel orientering

Hvad sker der nu?

Ifølge Osborne Clark, skal virksomheder, der ønsker at overføre personlige data fra Storbritannien til USA:

  1. Forstå, i hvor høj grad eksisterende aftaler med amerikanske virksomheder kan drage fordel af den nye databro. Det vil kræve at kontrollere, om disse amerikanske firmaer deltager, eller har til hensigt at, i aftalen og sikre, at de data, de overfører, er dækket.
  2. Dobbelttjek og opdater fortrolighedsmeddelelser, registreringer af behandling og kontrakter.
  3. Fortsæt med at bruge International Dataoverførselsaftale eller bindende virksomhedsregler, hvor UK-US databro er ikke mulig.

 

Peter Church, TMT Counsel hos Linklaters, hævder, at databroen vil give britiske virksomheder et yderligere incitament til at handle med amerikanske tjenesteudbydere, der har tilmeldt sig.

"Det giver britiske virksomheder mulighed for automatisk at overholde reglerne om internationale dataoverførsler uden behov for ekstra trin, såsom at udføre en risikovurdering. Det indebærer også minimal yderligere indsats fra den britiske virksomhed, da størstedelen af ​​overholdelsesbyrden falder på den amerikanske enhed,” siger han til ISMS.online.

"Når det er sagt, er der et par særheder for britiske virksomheder at holde øje med, såsom behovet for specifikt at identificere genetisk, biometrisk, seksuel orientering og kriminel information som følsom og kontrollere, om den amerikanske enhed har givet specifikke HR-forpligtelser, før de overføres HR-data."

Hvad betyder det for virksomheder?

Andre eksperter hilser også den nye dataoverførselsaftale velkommen. Ieuan Jolly, partner og formand for Linklaters' amerikanske TMT & Data Solutions Practice, hævder, at det vil hjælpe med at "låse op for økonomiske muligheder" og opbygge stærkere transatlantiske bånd ved at hjælpe med at tilpasse databeskyttelsesstandarder. Det er gode nyheder for en britisk økonomi siges at være værd over £150 mia. årligt og beskæftiger 1.7 mio.

"Aftalen giver et niveau af retssikkerhed, som virksomheder har længtes efter. Med klare retningslinjer og garantier for grænseoverskridende overførsel af personoplysninger vil det gøre det muligt for virksomheder at planlægge og drive med mere tillid. Denne nyfundne sikkerhed er især vigtig for industrier, der er afhængige af datadrevne strategier, såsom teknologi, e-handel og finansielle tjenester,” argumenterer han.

"Konsekvenserne af denne aftale for virksomheder er mangefacetterede. For det første forenkler det overholdelsesindsatsen ved at tilbyde en standardiseret ramme for dataoverførsler, hvilket reducerer reguleringsbyrden for multinationale selskaber. For det andet tilskynder det til fortsatte investeringer og ekspansion mellem Storbritannien og USA, som virksomheder nu kan navigere databeskyttelse problemer mere problemfrit."

Juridiske udfordringer forude

Det er stadig uklart, om Schrems og hans juridiske team med succes vil udfordre den oprindelige DPF. Men det faktum, at databroen blot er en udvidelse af DPF, tyder på, at den kun vil være gyldig, så længe sidstnævnte er.

"Hvis EU-US Data Privacy Framework skulle blive ugyldiggjort af CJEU (igen), kan amerikanske virksomheder meget vel bare opgive ordningen, og den britiske regering kan blive nødt til at opsige den britiske forlængelse for at bevare Storbritanniens tilstrækkelighedsstatus med hensyn til EU,« argumenterer Church.

Det er derfor, nogle måske stadig ønsker at afdække deres væddemål, ifølge Osborne Clark: "Nogle virksomheder, der overfører personlige data fra Storbritannien, kan stadig søge en bælte-og-bøjler tilgang, der stoler på både UK-US databroen, såvel som et alternativ overførselsmekanisme (såsom tillægget til den internationale dataoverførselsaftale), især i betragtning af usikkerheden omkring, hvorvidt EU-US Data Privacy Framework (og den britiske udvidelse af den) vil modstå udfordringen." det hævder.

Forfatter

Phil Muncaster

Phil Muncaster har været it-journalist i 20 år. Han startede som reporter på virksomhedens IT-titlen IT Week i 2005 og gik videre til rollen som nyhedsredaktør, før han rejste for at forfølge en freelancekarriere. Siden da har Phil skrevet for titler, herunder The Register, hvor han arbejdede som Asien-korrespondent, mens han havde base i Hong Kong i over to år, MIT Technology Review, SC Magazine, Infosecurity Magazine og andre.

Se alle indlæg af Phil Muncaster

Relaterede indlæg

SOC 2 er her! Styrk din sikkerhed og opbyg kundernes tillid med vores kraftfulde overholdelsesløsning i dag!