EU-US-Privacy Shield-ordningen: Den 16. juli 2020 afsagde EU-Domstolen dom i den længe ventede Schrems-II-sag.
EU-Domstolen erklærede i den forbindelse EU-US-Privacy Shield-ordningen for ugyldig.
EU-Domstolen godkendte dog EU-Kommissionens afgørelse fra 2010 om standardkontraktbestemmelser, der kan anvendes ved overførsel af personoplysninger til såkaldt usikre tredjelande.
Afgørelsen har stor betydning for alle virksomheder, der overfører personoplysninger til USA under Privacy Shield-ordningen.
Overførsel af personoplysninger til et tredjeland
Muligheden for at overføre personoplysninger til et tredjeland er reguleret af databeskyttelsesforordningen og Den Europæiske Unions Charter om grundlæggende rettigheder.
Personoplysninger, der overføres til et tredjeland, skal være omfattet af et beskyttelsesniveau, der i det væsentlige svarer til det niveau, der er sikret i EU. De registreredes rettigheder skal ligeledes kunne håndhæves med effektive retsmidler.
Vurderingen af beskyttelsesniveauet skal ske under hensyn til:
- de kontraktvilkår, som er aftalt mellem EU-dataeksportøren og modtageren i tredjelandet
- tredjelandets offentlige myndigheders adgang til de overførte personoplysninger
- de relevante forhold i tredjelandets retssystem
Personoplysninger kan alene overføres fra et EU-medlemsland til et tredjeland, hvis en af nedenstående overførselsgrundlag er til stede.
Overførselsgrundlag
EU-Kommissionen har for et fåtal af lande og områder truffet afgørelse om, at beskyttelsesniveauet i det pågældende tredjeland er tilstrækkeligt.
En sådan tilstrækkelighedsafgørelse medfører, at der kan overføres personoplysninger til en modtager i det pågældende tredjeland uden ansøgning om godkendelse, udarbejdelse af kontrakter eller lignende.
EU-US-Privacy Shield-ordningen var indtil den 16. juli 2020 omfattet af denne ordning.
En oversigt over sikre tredjelande kan findes her
Overførsel til et tredjeland efter afgivelse af garantier
Såfremt en EU-dataeksportør ønsker at overføre personoplysninger til et ikke-sikkert tredjeland, kan overførslen alene ske, hvis der stilles fornødne garantier, som sikrer effektive retsmidler til at håndhæve de registreredes rettigheder i tredjelandet.
Sådanne fornødne garantier kan blandt andet stilles ved indgåelse af
EU-Kommissionens standardkontrakter, som kan anvendes uden godkendelse fra Datatilsynet, idet disse
bestemmelser er udarbejdet af EU-Kommissionen. Det er disse standardbestemmelser, som EU-Domstolen har vurderet og godkendt i forbindelse med Schrems-II-afgørelsen.
EU-Kommissionens standardbestemmelser er en række kontraktklausuler om databeskyttelse, som en EU-dataeksportør kan anmode en dataimportør i et
ikke-sikkert tredjeland om at tiltræde forud for overførslen af personoplysninger og dermed sikre ovennævnte fornødne garantier og et gyldigt overførselsgrundlag.
EU-Kommissionens standardkontrakter kan findes her
Der findes i tillæg til EU-Kommissionens standardkontrakter en række andre muligheder for at sikre fornødne garantier. Det er blandt andet binding corporate rules og ad hoc-kontrakter, som dog skal godkendes af den ledende tilsynsmyndighed.
– EU-domstolen erklærer ordningen ugyldig
Særlige undtagelser
Foruden ovenstående gælder der en række særlige undtagelser, hvorved en dataeksportør kan foretage en overførsel til et ikke-sikkert tredjeland uden at afgive de fornødne garantier.
Overførsel kan ske, når den registrerede har:
- givet samtykke hertil
- når det er nødvendigt for at indgå eller opfylde en kontrakt mellem den dataansvarlige og den registrerede eller en anden fysisk eller juridisk person
- når det er nødvendigt under hensyn til vigtige samfundsinteresser
- når det er nødvendigt, for at et retskrav kan fastlægges, gøres gældende eller forvares
- når det er nødvendigt for at beskytte vitale interesser
- når overførslen sker fra et offentligt register
- eller såfremt det sker efter en interesseafvejning med passende garantier
EU-US-Privacy Shield-ordningen
I forbindelse med bedømmelsen i Schrems-II-sagen, vurderede EU-Domstolen gyldigheden af Privacy Shield-ordningen.
Denne ordning blev vedtaget mellem USA og EU, som en erstatning for Safe Harbour-ordningen, der blev kendt ugyldig af EU-Domstolen i 2015 under den første Schrems-sag.
EU-US-Privacy Shield-ordningen gav amerikanske virksomheder mulighed for at foretage en selvcertificering, hvorved de forpligtede sig til at overholde en række principper om beskyttelse af privatlivets fred.
I lighed med Safe Harbour-ordningen, indeholdt Privacy Shield-ordningen dog en mulighed for at gøre indgreb i de grundlæggende rettigheder for de registrerede, under henvisning til den nationale sikkerhed, den offentlige interesse og overholdes af amerikansk lovgivning.
EU-Domstolen konkluderede derfor, at de begrænsninger, der følger af USA’s nationale bestemmelser om de amerikanske offentlige myndigheders adgang til og brug af overførte oplysninger, ikke er afgrænset på en sådan måde, at de lever op til krav, som i det væsentlige svarer til dem, der er foreskrevet i EU-retten.
For så vidt angår kravet om domstolsbeskyttelse fastslog Domstolen endvidere, at den i Privacy Shield-ordningen oprettede ombudsmandsmekanisme, ikke er et retsmiddel, som giver de registrerede garantier, der i det væsentlige svarer til dem, der kræves i EU-retten.
Ombudsmanden er ikke sikret uafhængighed eller kompetence til at træffe bindende afgørelse i forhold til de amerikanske efterretningstjenester.
EU-US-Privacy Shield-ordningen blev derfor kendt ugyldig.
Hvad betyder afgørelsen for dataeksportører i EU?
Virksomheder, som overfører personoplysninger til tredjelande (dataeksportører), skal altid foretage en konkret vurdering af, om de overholder kravene til overførsel af personoplysninger til et tredjeland og sikre sig et behørigt overførselsgrundlag, inden den påtænkte overførsel iværksættes.
Såfremt din virksomhed overfører personoplysninger til USA eller internationale organisationer under Privacy Shield-ordningen, er det vigtigt at sørge for, at der bliver etablereret et nyt grundlag.
Ikke kun for den fremtidige overførelse af personoplysninger, men også for så vidt angår den fortsatte opbevaring og behandling af allerede overførte personoplysninger.
Dette kan fx ske ved at indgå EU-Kommissionens standardkontrakter med de pågældende dataimportører.
Indtil der er etableret et nyt grundlag, bør overførslen af personoplysninger til USA suspenderes.
Som dataansvarlig er det endvidere vigtigt at være opmærksom på, om databehandlere, som behandler personoplysninger på virksomhedens vegne, eller eventuelle underdatabehandlere overfører personoplysninger til USA eller internationale organisationer under Privacy Shield-ordningen, og i den forbindelse sørge for at kontrollere, om sådanne databehandlere får etableret et nyt overførselsgrundlag.
Læs EU-Domstolens pressemeddelelse om dommen her
Har du eller din virksomhed brug for hjælp til at vurdere jeres nuværende overførselsgrundlag, eller har du behov for assistance til at etablere et nyt overførselsgrundlag til USA, er du altid velkommen til at kontakte en af vores GDPR-specialister. Vi står altid til rådighed.
