Opdateringer på persondataområdet

– Ny retstilstand vedrørende persondataoverførsler mellem EU og USA

Den 16. juli 2020 afsagde EU-Domstolen en længe ventet dom, der vil få stor betydning for virksomheder, der eksporterer persondata til USA.

Det væsentligste at bemærke sig fra afgørelsen er, at EU-Domstolen har underkendt EU-U.S. Privacy Shield som overførselsgrundlag for overførsel af persondata mellem USA og EU. Samtidig har EU-Domstolen godkendt EU-Kommissionens standardkontraktsbe-stemmelser som overførselsgrundlag, men kun under forudsætning af, at der er foretaget en konkret due diligence bedømmelse af, om det anses for at være forsvarligt at overføre persondata i den konkrete situation og til det konkrete land.

EU-U.S. Privacy Shield-ordningen er kendt ugyldig

I persondataretten defineres USA som et tredjeland, hvilket betyder, at persondataoverførsler fra et EU-land til USA forudsætter, at der foreligger et overførselsgrundlag, der sikrer, at de overførte data nyder en tilsvarende høj beskyttelse som i EU – også efter overførslen.

Hidtil har det været muligt at foretage persondataoverførsler fra EU til virksomheder i USA, der havde tilmeldt sig EU-U.S. Privacy Shield. Grundlaget herfor var EU-Kommissionens beslutning om, at beskyttelsesniveauet for virksomheder i USA tilmeldt Privacy Shield var tilstrækkeligt. Dette blev ændret i går, da EU-Domstolen afsagde dom i sagen Schrems II.

Schrems-sagerne blev oprindeligt indledt, da den østrigske borger Maximilan Schrems indgav en klage over Facebooks dataoverførsler mellem Irland og USA. Schrems anførte, at USA’s databeskyttelsesniveau ikke yder en tilsvarende beskyttelse som EU’s databe-skyttelsesretlige regler, og at overførslerne skulle forbydes.

I korte træk har EU-Domstolen fastslået, at USA’s databeskyttelseslovgivning ikke lever op til det beskyttelsesniveau, som er krævet for, at persondataoverførsler kan finde sted. På bag-grund heraf har EU-Domstolen tilsidesat Privacy Shield-ordningen som ugyldig. Det er vigtigt at understrege, at tilsidesættelsen af Privacy Shield-ordningen er en generel tilsidesættelse. Med andre ord var det ikke afgørende for dommen, at dataoverførslerne vedrørte Facebook.

Dommen vil få betydning for samtlige overførsler af persondata fra et EU-land, herunder Danmark, til USA, og det er altså ikke længere muligt at foretage sådanne persondataoverførsler på grundlag af EU-U.S. Privacy Shield.

EU-Kommissionens standardkontraktsbestemmelser (SCC) og overførsler til USA

EU-Domstolen udtalte sig i Schrems II-dommen desuden om EU-Kommissionens standard-kontraktsbestemmelser (SCC), og anførte dels at disse godt kan benyttes som overførselsgrundlag, men også at dette forudsætter, at dataeksportøren inden overførslen har foretaget en due diligence undersøgelse af den påtænkte overførsel, herunder af landet, dataimportøren og den konkrete situation som sådan, og har konstateret, at overførslen er forsvarlig.

I denne sammenhæng er det i forbindelse med overførsler til USA værd af bemærke sig, at EU-Domstolen i Schrems-II præmisserne konstaterer, at USA’s databeskyttelsesniveau er utilstrækkeligt, bl.a. fordi de amerikanske myndigheder i visse situationer har meget vidtgående adgange til at behandle persondata. Der består derfor nu tvivl om, hvorvidt overførsler til USA i det hele taget vil kunne ske forsvarligt, for hvordan kan en virksomhed vurdere, at en overførsel til et land, hvor almindelige beskyttelsesregler kan sættes ud af kraft af myndighederne i visse situationer, er forsvarlig? Denne problemstilling debatteres allerede heftigt i databeskyttelsesmiljøet, og vi følger disse drøftelser tæt, så vi kan rådgive om udviklingen.

Hvad skal I gøre på nuværende tidspunkt?

Da EU-U.S. Privacy Shield nu er tilsidesat, bør I som et første skridt undersøge, om I overfører persondata fra Danmark – eller et hvilket som helst andet EU-land – til USA. I bør bl.a. gennemgå jeres nuværende databehandlere, herunder underdatabehandlere, og databehandleraftaler og eventuelle overførsler til andre dataansvarlige m.v., og identificere eventuelle overførsler på grundlag af EU-U.S. Privacy Shield. I bør endvidere gennemgå jeres forretningsgange og sikre, at disse afspejler, at EU-U.S. Privacy Shield ikke længere kan benyttes som grundlag for persondataoverførsler.

Såfremt I foretager overførsler på grundlag af EU-U.S. Privacy Shield, bør disse overførsler standses straks, indtil et andet overførselsgrundlag er på plads. På baggrund af de usikkerheder, der p.t. foreligger for så vidt angår overførsler til USA generelt, vil vi dog, hvis det er muligt, anbefale, at I helt stopper med at overføre persondata til USA, og finder andre muligheder, leverandører m.v., hvor sådanne overførsler ikke er påkrævede. Hvis I ikke kan undgå at eksportere persondata til USA, skal I i stedet bruge et andet overførselsgrundlag (se databeskyttelsesforordningens artikel 44-49), hvoraf EU-Kommissionens standardkontraktsbestemmelser formentlig er det mest relevante overførselsgrundlag.

Vi bemærker, at det ikke er helt enkelt at benytte EU-Kommissionens standardkontraktsbestemmelser, og at I derfor skal være særligt opmærksomme på, at det blandt andet forudsætter, at man har foretaget en grundig undersøgelse af situationen, herunder af dataimportøren og det land, man overfører persondata til, og har vurderet, at overførslen kan ske forsvarligt. Desuden skal man som databehandler kunne begrunde, hvorfor det er nødvendigt at overføre persondata i den konkrete situation.

I finder et dansk resume af EU-Domstolens afgørelse i sagen Schrems II via følgende link:
https://curia.europa.eu/jcms/upload/docs/application/pdf/2020-07/cp200091da.pdf

Hvis I har spørgsmål til ovenstående eller til persondataret i øvrigt, skal I være meget velkomne til at kontakte os.