Folketingets Udvalg for Digitalisering og It
Christiansborg
22. marts 2024
Svar på Udvalget for Digitalisering og Its spørgsmål nr. 119 (Alm.
del) af 4. marts 2024 stillet efter ønske fra Alexander Ryle (LA)
Er ministeren enig i, at tilstrækkelighedsafgørelsen vedr. dataoverførsel til USA,
som blev vedtaget i juli 2023 med det såkaldte EU-US Data Privacy Framework,
er gældende ret, som anført i artiklen »GDPR-ekspert: Statens It tager fejl i sin
cloud-vurdering – kan sagtens anvende cloud til it-sikkerhed« fra
Computerworld.dk den 19. februar 2024, jf. svar på DIU alm. del – spm. 85?
Svar
Spørgsmål
Jeg har forelagt det konkrete spørgsmål for Statens It, som oplyser følgende:
”Spørgsmålet om hjemmel til at overføre personoplysninger mellem EU og USA
er blevet prøvet ved EU-domstolen af flere omgange i de såkaldte Schrems I og
II-afgørelser. Den 10. juli 2023 traf EU-Kommissionen afgørelse vedrørende
amerikanske virksomheder, som certificerer sig under det såkaldte ”Data Privacy
Framework” (DPF) under det amerikanske handelsministerium, som er gældende
ret.
Public cloud-leverandører kan være certificeret efter DPF. Statens It har dog erfa-
ret, at public cloud-leverandører kan anvende underdatabehandlere i USA, der
ikke er certificeret efter DPF. Det er også værd at bemærke, at DPF alene gælder i
forhold til USA – og ikke tredjelande, hvor store public cloud-leverandører også
kan have underdatabehandlere.
Som anført i besvarelse af DIU alm. del spm. 85 skal EU-Kommissionens til-
strækkelighedsafgørelse af 10. juli 2023 ses i sammenhæng med databeskyttelses-
forordningens øvrige bestemmelser, herunder lovlig videregivelse af personoplys-
ninger, brug til egne eller nye formål m.v. Statens It’s eventuelle anvendelse af
cloud-løsninger for de myndigheder, som Statens It er driftsleverandør for, har
derfor også øvrige afhængigheder til EU’s databeskyttelsesforordning, som ligger
udover DPF.”
Med venlig hilsen
Finansministeriet · Christiansborg Slotsplads 1 · 1218 København K