EU-Domstolen har i en dom afgjort, at Privacy Shield ikke kan bruges som overførselsgrundlag af data til USA, men EU's standardkontrakter har klaret frisag

Mange af de tech-leverandører, som europæiske virksomheder benytter sig af, er baseret i USA og underlagt amerikansk lovgivning og amerikanske myndigheder. Mange af de pågældende tech-leverandører er databehandlere i databeskyttelsesforordningens forstand, da de får overført persondata i forbindelse med levering af deres ydelser. Hermed sker der en overførsel af persondata fra EU til USA. Det er kun lovligt, hvis man kan etablere et såkaldt overførselsgrundlag. To af de mest anvendte overførselsgrundlag er Privacy Shield og EU-Kommissionens standardkontrakt.

Beskyttelsesniveauet for de registrerede personer er ikke så højt i USA, som det er i EU, og det skyldes særligt, at de amerikanske myndigheder har meget vidtrækkende muligheder for at få indsigt i persondata, som amerikanske virksomheder behandler, uanset om der er tale om persondata om amerikanske statsborgere eller om EU-borgere. Dermed er der risiko for, at EU-borgeres personoplysninger, der overføres til USA, behandles i situationer, som ikke er acceptabelt for EU-borgere.

En EU-borger, Max Schrems, havde klaget til det irske datatilsyn over at Facebook i Irland overførte hans personoplysninger til moderselskabet Facebook i USA. Max Schrems mente ikke, at den aftale, der var lavet mellem EU og USA om det såkaldte Privacy Shield, ydede ham tilstrækkelig  beskyttelse af hans personoplysninger. Han mente heller ikke, at EU-Kommissionens standardkontrakt var tilstrækkeligt overførselsgrundlag.

Det irske datatilsyn indbragte sagen for de irske domstole, som valgte at stille EU-Domstolen en række spørgsmål om fortolkningen af EU-reglerne.

EU-Domstolen nåede frem til at ”Privacy Shield-afgørelsen” er ugyldig. Derfor kan der ikke længere ske overførsel af personoplysninger til USA ved brug af Privacy-Shield.

Men EU-Domstolen fastslog også, at EU-Kommissionens standardkontrakter fortsat er gyldige. Der bliver dog rejst en række spørgsmål til standardkontrakterne, som i hovedsagen går ud på, at indholdet af standardkontrakterne skal følges og håndhæves. Hvis dette ikke er muligt på grund af reglerne i databehandlerens hjemland (som i den konkrete sag var USA), skal overførslen af persondata ophøre.

Det bliver derfor afgørende for alle virksomheder i EU, der overfører persondata til USA på grundlag af Privacy Shield, at finde et nyt overførselsgrundlag. Det oplagte valg er EU-Kommissionens standardkontrakter. Men vælger man dette, kræves det i endnu højere grad end tidligere, at man sikrer sig, at modtagerne af personoplysninger i USA, databehandleren, reelt har mulighed for at overholde standardkontrakterne. Dette spørgsmål er endnu ikke afklaret.

Det danske datatilsyn har oplyst, at det i det Europæiske Databeskyttelsesråd i den kommende tid sammen med de andre europæiske tilsynsmyndigheder vil foretage en nærmere analyse af dommen og dens betydning for overførsel af personoplysninger til tredjelande og internationale organisationer, herunder dommens betydning for de øvrige overførselsgrundlag.

Uanset hvilken udmelding der kommer fra myndighederne, bør man som virksomhed allerede nu afklare, om man overfører personoplysninger til tredjeland og i givet fald hvilke overførselsgrundlag, man benytter i forbindelse med brug af cloud-løsninger, samt ved brug af personoplysninger i sin markedsføring.

CO:PLAY har etableret en arbejdsgruppe, der analyserer virkningen af Schrems II-afgørelsen. Du kan altid kontakte nedenstående for konkret rådgivning om, hvad ændringen i overførselsgrundlaget til tredjelande betyder for din virksomhed.

For mere information kontakt venligst:
Heidi Højmark Helveg - hhh@coplay.law (+45 30 74 2900)
Niels Dahl-Nielsen - ndn@coplay.law (+45 4030 9749