Om ProPartner Nyheder Ydelser Projectportal

Dom i Schrems II-sagen: Privacy Shield erklæret ugyldig

 

EU-Domstolen har torsdag den 16. juli 2020 afsagt dom i Schrems II sagen omhandlende beskyttelse af persondata ved overførsel af data fra EU til tredjelande til forretningsmæssige formål. De facto betyder dommen, at alle overførsler af personoplysninger fra et EU land til USA eller andet tredjeland pr. default anses som værende højrisiko transaktioner.

 

 

Sagens baggrund

Sagen startede i 2013, da østrigske Max Schrems - i forlængelse af Edward Snowdens afsløringer af amerikansk masseovervågning - klagede til det irske datatilsyn over Facebook Irlands overførsel af hans persondata til Facebook Inc. i USA. Overførslen var baseret på den daværende "Safe Harbor-ordning", der betød, at amerikanske virksomheder omfattet af ordningen blev anset for at være beliggende i et 'sikkert tredjeland'. Baggrunden for klagen var, at Schrems mente, at USA's lovgivning om national sikkerhed mv. gjorde, at de amerikanske virksomheder, der var tilsluttet Safe Harbor-ordningen, ikke kunne sikre et tilstrækkeligt beskyttelsesniveau for persondata som krævet af europæisk databeskyttelseslovgivning.

I 2016 blev Safe Harbor-ordningen erstattet af den tilsvarende Privacy Shield-ordning, som efter EU-Kommissionens opfattelse rettede op på manglerne i Safe Harbor ordningen, bl.a. i kraft af stærkere tilsyns- og håndhævelsesmekanismer, herunder en uafhængig Privacy Shield-Ombudsmand.

I forlængelse af EU-Domstolens afgørelse valgte Max Schrems at omformulere den oprindelige klage til det irske datatilsyn, da Facebook - nu på baggrund af tilrettede SCCs - fortsat overførte personoplysninger til USA. Schrems mente ikke, at de tilrettede SCCs gav ham en beskyttelse tilsvarende beskyttelsesniveauet inden for EU, særligt på grund af den nævnte lempelige amerikanske lovgivning om myndighedernes adgang til overvågning og indsamling af persondata. 

 

Dommen kort fortalt 

EU-Domstolen finder EU-Kommissionens afgørelse 2016/1250 (om beskyttelse af de af EU-borgernes personoplysninger, der overføres til USA), utilstrækkelig og dermed ugyldig. Dermed ophører ”Privacy Shield Framework” med øjeblikkelig virkning som værende tilstrækkeligt grundlag for overførsler mellem EU og USA. EU-Domstolen finder således ikke, at USA’s nationale bestemmelser om de amerikanske offentlige myndigheders adgang til og brug af personoplysninger, der overføres fra EU til USA, er afgrænset på en sådan måde, at de lever op til krav, som ”i det væsentlige svarer til” dem, der er foreskrevet i EU-retten ved proportionalitetsprincippet. Dette gælder særligt for så vidt de offentlige myndigheders overvågningsprogrammer ikke er begrænset til det strengt nødvendige, samt manglende garantier for ikke-amerikanske personer, som potentielt kan være omfattet af disse overvågningsprogrammer.

Derimod finder EU-Domstolen, at EU-Kommissionens standardkontraktbestemmelser (”SCC”) (jf. EU-Kommissionens afgørelse 2010/87) fortsat generelt kan benyttes som overførselsgrundlag ved overførsler fra EU-lande til ”usikre” tredjelande – dog inden for den præmis, at disse SCCs skal give et beskyttelsesniveau, ”der i det væsentlige svarer til det niveau, der er sikret i Unionen”. Dataeksportøren skal dermed – forud for hver enkelt overførsel – foretage en audit af dataimportøren og undersøge om der opnås en beskyttelsesgrad, som ”i det væsentlige svarer til” det sikrede beskyttelsesniveau i EU. Dette omfatter bl.a. at den nationale lovgivning i importlandet ikke må pålægge dataimportøren forpligtelser f.eks. om udlevering af oplysninger til myndighederne i importlandet, som går videre end hvad der efter en EU-standard anses for et sagligt, nødvendigt og proportionalt indgreb i rettighederne mv., lige som der i importlandet skal være 'effektive retsmidler' for personer, hvis personoplysninger behandles af myndighederne. 

 

Hvad betyder dommen i praksis?

I praksis betyder EU-Domstolens dom, at databehandlere og internationale organisationer lokaliseret uden for EU pr. default betragtes som højrisiko i forhold til databeskyttelse. Dermed skal virksomheder i deres risikovurdering (Data Protection Impact Assessment (DPIA)) af databehandlere i tredjelande tage udgangspunkt i, at overførsel hertil er behæftet med væsentlige risici og ikke mindst konsekvens i behandling af persondata. Med afskaffelsen af Data Shield ordningen, vil en dataeksportør fremadrettet i EU principielt – forud for hver overførsel af data – skulle argumentere for formålet med og nødvendigheden af, at disse persondata overføres til behandling i et land uden for EU. Så på trods af, at EU-Domstolen finder, at SCCs stadig vil kunne anvendes som overførselsgrundlag, betyder dommen i praksis,  at enhver virksomhed, der benytter sig af databehandling i USA eller andre tredjelande, skal gennemføre et større juridisk arbejde for at kontraktuelt sikre sig, at hver underdatabehandler i tredjeland overholder alle krav til ”tilstrækkelighed af beskyttelsesniveauet”. 

Alternativet vil være at flytte alle virksomhedens behandlinger af persondata til servere i EU. Prisstigningen forbundet med dette synes noget at blegne set i sammenligningen med udgifterne til det juridiske team, der må kræves for at udarbejde SCCs forud for enhver overførsel af persondata.

 

Effektuering af dommen

EU-Domstolen pålægger dataeksportørerne en forpligtigelse til at foretage audit af dataimportørerne og undersøge, om beskyttelsesniveauet i det pågældende tredjeland lever op til beskyttelsesniveauet inden for EU.

Private virksomheder pålægges at suspendere dataoverførsler til usikre tredjelande og/eller ophæve kontrakten med dataimportøren, hvis det vurderes, at beskyttelsesniveauet i tredjelandet ikke længere er tilstrækkeligt. Ligeledes pålægges dataimportøren af personoplysningerne at underrette dataeksportøren, såfremt denne ikke længere er i stand til at overholde de vedtagne standardkontraktbestemmelser.

Hvad angår tilsynsmyndighedernes forpligtelser i forbindelse med en sådan overførsel fastslog Domstolen, at medmindre der foreligger en afgørelse om tilstrækkeligheden af beskyttelsesniveauet, har disse myndigheder bl.a. pligt til at suspendere eller forbyde en overførsel af personoplysninger til et tredjeland, såfremt de finder, at standardbestemmelserne om databeskyttelse ikke er overholdt eller ikke kan overholdes i dette land. Datatilsynet skriver imidlertid i en pressemeddelelse, at de i den kommende tid sammen med de andre europæiske tilsynsmyndigheder vil ”foretage en nærmere analyse af dommen og dens betydning for overførsel af personoplysninger til tredjelande og internationale organisationer, herunder dommens betydning for de øvrige overførselsgrundlag”.

Det er altså i skrivende stund ikke ganske sikkert, hvorledes dommen og tilsynet hermed reelt vil blive effektueret. Men sikkert er det, at det kommer til at kræve et større juridisk arbejde fra dataeksportører, og at mange med fordel kan undersøge mulighederne for og afveje omkostningerne ved at skifte til underdatabehandlere med hjemsted i EU. 

 

Hvad kommer der til at ske herfra?

Et kvalificeret gæt på, hvad tredjelands-databehandlere vil foretage sig i den kommende tid er, at disse snart skriver til de dataansvarlige, at data nu er flyttet til EU. Derefter går databehandlerne i gang med at finde ud af, hvordan data så rent faktisk flyttes til EU. I mellemtiden har de forskellige tilsyn nok alligevel travlt med at rejse til møder og nå frem til en fælles fortolkning af dommen.

 
Nyheder

ProPartner Consulting ApS
Holmegårdsvej 46
DK-8270 Højbjerg
CVR: 33953623
info@propartner.com

© Copyright 2012 ProPartner Consulting ApS