Kan vi overføre personoplysninger til usikre tredjelande, herunder USA?

• – Det Europæiske Databeskyttelsesråd (”EDPB”) er endelig kommet med deres anbefalinger efter Schrems II-dommen.

Privacy Shield-ordningen fungerede tidligere som overførselsgrundlag ved overførsler af personoplysninger fra EU til USA, men ordningen blev den 16. juli 2020 tilsidesat som ugyldig af EU-Domstolen i den skelsættende dom i Schrems II-sagen.

Det har herefter været uklart på hvilket grundlag, der kan overføres personoplysninger fra EU til usikre tredjelande, herunder USA. Den 11. november 2020 udsendte EDPB de længe ventede anbefalinger på området. Den første anbefaling er et supplement til EU-Kommissionens standardkontrakter, og den anden anbefaling er en vurdering af beskyttelsesniveauet i tredjelandet.

1. anbefaling: Supplerende foranstaltninger til standardkontrakterne

I Schrems II-sagen fastslog EU-Domstolen, at EU-Kommissionens standardkontrakter kan udgøre overførselsgrundlaget ved overførsel af personoplysninger fra EU til usikre tredjelande, forudsat at dataeksportøren ved hver enkelt overførsel vurderer, om tredjelandet yder tilstrækkelig beskyttelse af personoplysningerne, og om beskyttelsen svarer til beskyttelsen i EU. Hvis beskyttelsen i et usikkert tredjeland er utilstrækkelig, skal dataeksportøren iværksætte supplerende foranstaltninger.

Det har indtil nu været uklart, hvad ”supplerende foranstaltninger” konkret indebærer. Det har EDPB nu sat ord på i sin anbefaling, der indeholder eksempler på supplerende foranstaltninger, samt vejledning til, hvordan de implementeres, konkrete scenarier og et oversigtskort, der skal gøre det lettere for dataeksportøren at implementere supplerende foranstaltninger i de tilfælde, hvor beskyttelsen i tredjelandet er utilstrækkelig.  

Vi bemærker, at denne anbefaling endnu ikke er endeligt vedtaget. Læs anbefalingen her.

2. anbefaling: Europæiske essentielle garantier

Denne anbefaling er en opdatering af de fire europæiske essentielle garantier, der blev udarbejdet som svar på EU-Domstolens afgørelse i Schrems I-sagen og som således bygger på EU-retten og retspraksis.

Ifølge anbefalingen skal de fire essentielle garantier være til stede i tredjelandet, når dataeksportøren vurderer påvirkningen af retten til privatlivets fred og databeskyttelse ved tredjelandets overvågningsforanstaltninger.  

De fire europæiske essentielle garantier er:

• Behandling bør baseres på klare, præcise og tilgængelige regler
• Nødvendigheden og proportionaliteten af de legitime formål, der forfølges, skal være demonstreret
• Der skal være en uafhængig tilsynsmekanisme
• Der skal være effektive retsmidler tilgængelige for den registrerede

De fire garantier skal ikke ses individuelt, men samlet set, ved gennemgang af tredjelandets lovgivning i forhold til de overvågningsforanstaltninger, minimumsniveauet for beskyttelsesforanstaltninger og de retsmidler, der er til rådighed.

Hvis dataeksportøren vurderer, at de fire essentielle garantier ikke er til stede og at beskyttelsesniveauet i tredjelandet derfor ikke er tilstrækkeligt, har EDPB udstedt en række supplerende foranstaltninger, der kan iværksættes, og som efter en konkret vurdering kan støtte, at dataoverførslen efter omstændighederne kan gennemføres.

EDPBs anden anbefaling om europæiske garantier er endeligt vedtaget. Læs anbefalingen her.

Hvad skal I gøre nu?

Vi anbefaler, at I identificerer hvilke overførsler I har til usikre tredjelande, herunder til USA. Vær opmærksom på, at det også gælder overførsler, som jeres databehandlere foretager.

Vurdér om der er alternativer, herunder om I har mulighed for at vælge en leverandør, der ikke er beliggende eller behandler personoplysninger i et usikkert tredjeland. Er der det, så er vores anbefaling at vælge et sådant alternativ frem for en overførsel til et usikkert tredjeland.

Hvor der ikke er alternativer, anbefaler vi, at I sætter jer grundigt ind i de to anbefalinger og gennemfører en konkret vurdering af, om hver enkelt overførsel vurderes at kunne gennemføres på et af disse grundlag. Vi bemærker, at denne vurdering bør foretages inden en overførsel gennemføres.   I kan læse mere om anbefalingerne på Datatilsynets hjemmeside.