EU-U.S. Privacy Shield kan ikke længere benyttes som overførselsgrundlag

Dato 27 jul. 2020
Download PDF version PDF

 

Den 16. juli 2020 afsagde EU-Domstolen en principiel dom i Schrems II-sagen (C-311/18), der får betydning for fremtidig overførsel af persondata fra EU-lande til USA.

 

EU-Domstolen fandt, at EU-U.S. Privacy Shield-ordningen er ugyldig, hvorimod kontrakter om overførsel af persondata indgået på baggrund af EU-Kommissionens standardkontraktvilkår er et gyldigt overførselsgrundlag.

 

Fremover skal EU-Kommissionens standardkontraktvilkår suppleres med en undersøgelse af dataimportøren og en vurdering af, om det usikre tredjeland helt generelt kan leve op til beskyttelsesniveauet inden for EU, forinden persondata overføres til tredjelandet.


Baggrunden for Schrems II-sagen

I 2013 klagede den østrigske advokat Maximillian Schrems til den irske tilsynsmyndighed for databeskyttelse over Facebook Irelands overførsel af hans personoplysninger til Facebook Inc. i USA. Overførslen skete på baggrund af den daværende ”Safe Harbor”-ordning, som indebar, at virksomheder, som var tilsluttet denne ordning, ansås for værende beliggende i såkaldt ”sikkert tredjeland”. ”Safe Habor”-ordningen var baseret på EU-Kommissionens aftale med det amerikanske handelsministerium fra år 2000. Maximillian Schrems anførte, at der ikke under retssystemet i USA kunne sikres en tilstrækkelig beskyttelse af de overførte personoplysninger, selvom dette skete til virksomheder omfattet at ”Safe Harbor”-ordningen.

 

Ved den senere afgørelse i sagen (Schrems I-dommen fra 2015) fastslog EU-Domstolen, at ”Safe Harbor”-ordningen var ugyldig.

Efter afsigelsen af Schrems I-dommen blev Safe Habor-ordningen i år 2016 erstattet af EU-U.S. Privacy Shield-ordningen. Denne ordning baserede sig på et selvcertificeringssystem, som skulle rette op på nogle af de kritikpunkter, som kom frem under Schrems I-dommen.

 

Med EU-U.S. Privacy Shield-ordningen kunne amerikanske virksomheder erklære og sikre, at virksomhederne lever op til en række specifikke databeskyttelsesretlige krav. Når den amerikanske virksomhed herigennem havde opnået godkendelse til håndtering af specifikke data, ville den pågældende virksomhed persondataretligt kunne anses for værende beliggende i et sikkert tredjeland.

 

Facebook Ireland indrettede sig i overensstemmelse med Schrems I-dommen og benyttede herefter EU-Kommissionens standardkontraktvilkår som overførselsgrundlag. Herefter ændrede Maximillian Schrems sin klage og anfægtede både EU-Kommissionens standardkontraktvilkår og EU-U.S. Privacy Shield-ordning, hvilket ledte til afgørelsen i Schrems II-sagen.


EU-Domstolens dom den 16. juli 2020

EU-Domstolen fandt, at EU-U.S. Privacy Shield-ordningen var ugyldig. EU-Domstolen fandt, at privatlivsbeskyttelsen efter amerikansk lovgivning helt generelt ikke er tilstrækkelig, idet der foregår vilkårlig og generel masseovervågning i USA, der ikke begrænser sig til det strengt nødvendige. Yderligere fandt EU-Domstolen, at der ikke foreligger et tilstrækkeligt effektivt retsmiddel til at håndhæve de registreredes rettigheder, herunder fordi den eksisterende Ombudsmandsfunktion ikke kan træffe effektive afgørelser over for de amerikanske efterretningstjenester, der forestår overvågningen.

 

EU-Domstolen fastslog endvidere, at EU-Kommissionens standardkontraktvilkår fortsat kan anvendes som et gyldigt overførselsgrundlag. Standardkontraktvilkårene indeholder effektive mekanismer til at sikre, at den beskyttelse, der kræves efter lovgivningen inden for EU, opretholdes efter overførslen.

 

EU-Domstolen fremhævede dog også, at dataeksportøren er forpligtet til at sikre, at dataimportøren er og vil være i stand til at overholde sine forpligtelser efter standardkontraktvilkårene, ligesom dataeksportøren er forpligtet til at foretage en risikovurdering af, hvorvidt tredjelandets beskyttelsesniveau svarer til beskyttelsesniveauet inden for EU. Det pålægges ligeledes dataeksportøren at suspendere eller stoppe overførslen af data, hvis beskyttelsesniveauet i tredjelandet ikke længere er tilstrækkeligt. Såfremt dataeksportøren ikke selv suspenderer eller stopper en sådan overførsel, påhviler det det enkelte lands tilsynsmyndighed at suspendere eller forbyde overførsler af persondata, såfremt standardkontraktvilkårene ikke er overholdt eller ikke kan overholdes, og såfremt det ikke er muligt ved andre midler at sikre den nødvendige beskyttelsesniveau.


Vores bemærkninger

På baggrund af EU-Domstolens afgørelse er overførsel af data på grundlag af EU-U.S. Privacy Shield-ordningen ikke længere i overensstemmelse med persondataforordningen.  

 

Ca. 5.400 virksomheder i USA havde indtil nu underlagt sig EU-U.S. Privacy Shield-ordningen, og disse virksomheder er nødsaget til at etablere et andet overførselsgrundlag, førend der kan ske yderligere import af persondata fra virksomheder beliggende inden for EU.

 

EU-Domstolen fastsætter ikke nogen overgangsperiode. Selskaber og samarbejdspartnere, som i dag baserer deres overførsel af persondata til USA på EU-U.S. Privacy Shield-ordningen, skal derfor snarest muligt sikre sig, at der er indgået overførselskontrakter baseret på EU-Kommissionens standardkontraktvilkår. Endvidere skal der gennemføres en audit af dataimportvirksomheden og af tredjelandets beskyttelsesniveau for at sikre compliance med den nyetablerede praksis.

 

Overførsel af data uden gyldigt overførselsgrundlag udgør en overtrædelse af persondataforordningen, og det må forventes, at en overtrædelse vil udløse en bøde fra tilsynsmyndigheden i den relevante medlemsstat.

 

Uanset ovenstående vil overførsel af persondata baseret på EU-Kommissionens standardkontraktvilkår efter vores vurdering være usikker, idet EU-Domstolen i Schrems II-dommen rent faktisk fastslog, at USA ikke ansås at kunne levere et tilstrækkeligt beskyttelsesniveau for personoplysningerne. Det er usandsynligt, at en dataeksportvirksomhed vil kunne foretage en korrekt vurdering af USA’s beskyttelsesniveau, der kom til et andet resultat end EU-Domstolen selv. Det er således uafklaret, om private virksomheder overhovedet på baggrund af standardkontraktvilkårene gyldigt kan overføre persondata til USA, hvilket selvsagt er problematisk.

 

Det Europæiske Databeskyttelsesråd offentliggjorde den 24. juli 2020 en FAQ vedrørende Schrems II-dommen. I disse anføres blandt andet, at overførsel af data på baggrund af standardkontraktvilkårene kan ske, såfremt det dataeksporterende selskab vurderer, at overførslen sker på et tilstrækkeligt sikkert grundlag. Databeskyttelsesrådet anviser, at dette vil afhænge af omstændighederne for overførslen og de ”supplerende foranstaltninger”, som virksomhederne vil kunne sætte i værk for at sikre en sådan yderligere beskyttelse.

 

Ud fra Databeskyttelsesrådets vejledning må det derfor foreløbigt kunne lægges til grund, at der kan ske overførsel af persondata på baggrund af standardkontraktvilkårene, forudsat at der samtidig indføres sikkerhedsforanstaltninger, der rækker ud over EU-Kommissionens standardkontraktvilkår.

 

En konsekvens af dommen er endvidere, at grundlaget for overførsel af personoplysninger til usikre tredjelande er blevet indskrænket. Der er tillige skabt betydelig usikkerhed om, hvordan overførsel af persondata til USA overhovedet kan foretages inden for rammerne af GDPR. Den eneste sikre tilbageværende mulighed for lovmæssig overførsel af persondata til ikke-sikre tredjelande er herefter ifølge databeskyttelsesforordningen at basere overførslen af data på den registreredes samtykke.

 

Virksomheder, som foretager overførsel af persondata fra EU til USA, bør allerede nu nøje gennemgå deres overførselsgrundlag i lyset af EU-Domstolens afgørelse af 16. juli 2020. Fortsat overførsel af persondata på baggrund af EU-U.S. Privacy Shield-ordningen eller på baggrund af EU-Kommissionens standardkontraktvilkår, men uden tilhørende individuel vurdering af dataimportørens sikkerhedsniveau, vil kunne blive sanktioneret med bøde og derfor udgøre en betydelig økonomisk risiko for den overførende virksomhed.

 

Det forventes dog, at myndighederne snarest vil fremkomme med yderligere vejledning om fremtidigt grundlag for overførsel af persondata til ikke-sikre tredjelande.



Hvis du har spørgsmål eller ønsker yderligere information om ovenstående, er du velkommen til at kontakte partner Pernille Nørkær (pno@mwblaw.dk), advokatfuldmægtig Sarah Veje Rasmussen (svr@mwblaw.dk) eller advokatfuldmægtig Louise Dolmer (ldo@mwblaw.dk).

 

Ovenstående er ikke juridisk rådgivning, og Moalem Weitemeyer Bendtsen indestår ikke for, at indholdet af ovenstående er korrekt. Moalem Weitemeyer Bendtsen har med ovenstående ikke påtaget sig ansvar af nogen art som konsekvens af en læsers benyttelse af ovenstående som grundlag for beslutninger eller overvejelser.