Uge 34: Overførsel af persondata til usikre tredjelande - EU dom

Når der overføres personoplysninger til lande, der ligger uden for EU/EØS, og som ikke er godkendt af EU-Kommission som såkaldt sikre tredjelande, skal der foreligge et tilstrækkeligt overførselsgrundlag. De to mest anvendte overførselsgrundlag i forbindelse med overførelser til usikre tredjelande, herunder USA, er EU-Kommissionens standardkontraktbestemmelser og EU-U.S. Privacy Shield. Det er netop lovligheden af disse to overførselsgrundlag, som EU-Domstolen har taget stilling til i den principielle Schrems II-sag (C-311/18), som blev afgjort torsdag den 16. juli 2020.

Kort fortalt finder EU-Domstolen, at Privacy Shield-ordningen er ugyldig, fordi USA´s beskyttelsesniveau fortsat ikke er godt nok. Allerede i 2015 blev den tidligere ordning erklæret ulovlig af EU domstolen. Privacy Shield-ordningen kan derfor ikke længere bruges som grundlag for overførsler fra EU til USA, og de virksomheder, der har overført persondata til amerikanske virksomheder på dette grundlag skal omgående finde et andet grundlag.

Til gengæld finder EU-Domstolen, at EU-Kommissionens standardkontraktbestemmelser ("SCCs") fortsat må anses som værende gyldig, men at de ikke kan stå alene. Dataeksportøren skal nemlig derudover sikre, at der opnås en beskyttelse, som svarer til beskyttelsesniveauet i EU. Bl.a. må national lovgivning i importlandet ikke pålægge dataimportøren forpligtelser f.eks. om udlevering af oplysninger til myndighederne i importlandet, som går videre end hvad der efter en europæisk standard anses for et sagligt, nødvendigt og proportionalt indgreb i rettighederne mv., lige som der i importlandet skal være 'effektive retsmidler' for personer, hvis personoplysninger behandles af myndighederne. Hidtil har man antaget, at en ”sikring” alene kunne bestå i indgåelsen af en aftale mellem dataimportøren og dataeksportøren baseret på de omtalte SCC, men det er altså ikke nok.

Hvad der helt præcist skal til, for at dataeksportøren kan siges, at have gjort sit hjemmearbejde godt nok, forinden der sker eksport af persondata til usikre lande på baggrund af SCC – herunder USA – er uafklaret. Om overførsel af persondata til USA overhovedet kan ske på baggrund af SCC må lige nu anses for at være højst tvivlsomt, idet EU domstolen ved at tilsidesætte Privacy Shield jo netop har slået fast, at beskyttelsesniveauet i USA er utilstrækkeligt.  Da dataudveksling med amerikanske virksomheder er af uhyre vigtighed, opfordrer vi naturligvis EU til hurtigt sammen med USA at sætte sig til forhandlingsbordet for at finde en løsning på problemet.

Det europæiske databeskyttelsesråd (EDPB)- som det danske Datatilsyn er medlem af – har  på baggrund af sagen foreløbig valgt at udgive nogle spørgsmål og svar, som du finder her:

https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2020/jul/det-europaeiske-databeskyttelsesraad-har-udarbejdet-en-faq-om-schrems-ii-dommen

Selve dommen fra EU finder du her :
https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2020/jul/eu-domstolens-dom-i-schrems-ii-sagen

Dansk Erhverv vil naturligvis omgående underrette netværket om nye udviklinger på området for 3. lands overførsler.

Tilbage