De juridiske udfordringer ved tredjelandsoverførsel til USA
Oversat titel
The legal challenges of third-country data transfers to the U.S.
Forfattere
Andersen, Joakim Christian ; Eliasen, Lærke ; Jensen, Mads Grøndahl
Semester
4. semester
Uddannelse
Udgivelsesår
2025
Afleveret
2025-05-15
Antal sider
108
Abstract
Specialet undersøger de juridiske udfordringer ved overførsel af personoplysninger fra EU til USA med fokus på, om begrænsninger og garantier i Executive Order 14086 (EO 14086) og det deraf afledte Data Privacy Framework (DPF) sikrer et tilstrækkeligt beskyttelsesniveau, samt hvornår Standardkontraktbestemmelser (SCC’er) med supplerende foranstaltninger kan anvendes som overførselsgrundlag. Med en retsdogmatisk og internationalt komparativ metode gennemgås GDPR kapitel V, Schrems I og II, relevante amerikanske regler og EDPB’s vejledninger, ligesom CLOUD Act og databehandlerrelationer belyses. Analysen konkluderer, at EO 14086 kan kritiseres for ikke at forbyde masseindsamling, for sin underliggende retlige ramme og for, at tilsynsordningen (PCLOB og CLPO) under visse betingelser kan omgås. USA’s proportionalitetsforståelse anerkendes, mens nødvendighedsprincippet vurderes problematisk i forhold til EU-retten. PCLOB kritiseres for manglende quorum, transparens og uafhængighed, hvilket påvirker CLPO og Data Protection Review Court (DPRC); selv om afgørelserne er retligt bindende, fremhæves utilstrækkelig uafhængighed, manglende begrundede afgørelser, ingen klagemulighed, lav transparens og standardiserede svar. For SCC’er anbefales en systematisk kortlægning af overførsler, en vurdering af tredjelandets lovgivning og implementering af supplerende tekniske, organisatoriske og kontraktuelle foranstaltninger; visse tekniske løsninger, som kryptering hvor dataimportøren har dekrypteringsnøglen, er ikke nødvendigvis tilstrækkelige. Om CLOUD Act konkluderes, at EU-etablerede, amerikansk ejede virksomheder kan havne i en jurisdiktionskonflikt; undtagelser i GDPR artikel 49 er utilstrækkelige i praksis, og internationale aftaler bør være retsgrundlaget. CLOUD Act vurderes uforenelig med EU-retten, fordi den omgår MLAT-procedurer, hvorfor virksomheder ikke bør efterkomme anmodninger ukritisk. Med afsæt i KOMBIT-sagen understreges, at databehandlere bliver underlagt GDPR, og at den dataansvarlige på forhånd skal vurdere databehandleres beskyttelsesniveau, sikre passende sikkerhed, foretage løbende audits, afvise anmodninger der strider mod databehandleraftalen og sikre klare, præcise aftalevilkår.
This thesis examines the legal challenges of transferring personal data from the EU to the United States, focusing on whether the limitations and safeguards in Executive Order 14086 (EO 14086) and the resulting Data Privacy Framework (DPF) ensure an adequate level of protection, and when Standard Contractual Clauses (SCCs) with supplementary measures can lawfully be used as a transfer mechanism. Using a doctrinal legal method and an international comparative approach, it reviews GDPR Chapter V, the Schrems I and II judgments, relevant U.S. laws, and EDPB guidance, and assesses the CLOUD Act and processor relationships. The analysis concludes that EO 14086 can be criticized for not prohibiting bulk collection, for its underlying legal framework, and because oversight via PCLOB and CLPO can be circumvented under certain conditions. While the U.S. understanding of proportionality is acknowledged, its approach to necessity is problematic compared with EU law. PCLOB is criticized for lack of quorum, transparency, and independence, affecting CLPO and the Data Protection Review Court (DPRC); although their decisions are legally binding, concerns remain about insufficient independence, the absence of reasoned decisions and appeal possibilities, limited transparency, and extensive use of standardized responses. For SCCs, the thesis recommends mapping all transfers, assessing third-country laws and practices, and implementing supplementary technical, organizational, and contractual measures; some technical solutions—such as encryption where the data importer holds the decryption key—may not be sufficient. Regarding the CLOUD Act, U.S.-owned entities in the EU may face a jurisdictional conflict; relying on GDPR Article 49 derogations is inadequate in practice, and international agreements should serve as the legal basis. The CLOUD Act is deemed incompatible with EU law because it circumvents MLAT procedures, so companies should not comply with requests uncritically. Based on the KOMBIT case, processors are subject to the GDPR, and controllers must assess processors’ protections in advance, ensure appropriate security, conduct regular audits, refuse requests that breach the data processing agreement, and ensure clear and precise contractual terms.
[Dette resumé er genereret ved hjælp af AI]
Emneord