EU-Domstolen har afsagt dom i Schrems II-sagen og erklæret EU-US Privacy Shield-ordningen ugyldig

EU-domstolen har torsdag den 16. juli 2020 afsagt dom i den såkaldte ”Schrems II-sag”. Dommen er principiel og har stor betydning for virksomheder, der overfører personoplysninger til USA.

Nyhed

17.07.2020

BAGGRUND

Schrems II-sagen udspringer af en lignende sag fra 2013, hvor den østrigske datarettighedsforkæmper Maximillian Schrems indgav en klage til det irske datatilsyn over Facebooks overførsel af hans personoplysninger fra EU til USA på grundlag af den daværende Safe Harbour-ordning. Sagen endte hos EU-Domstolen, der i oktober 2015 erklærede Safe Harbour-ordningen for et ugyldigt grundlag for overførsel af personoplysninger fra EU til USA. Schrems fik dermed medhold i, at Safe Harbour-ordningen ikke kunne sikre et tilstrækkeligt beskyttelsesniveau, som er påkrævet af europæisk databeskyttelseslovgivning.

EU-KOMMISSIONENS STANDARDKONTRAKTBESTEMMELSER OPRETHOLDES

EU-domstolen har afgjort, at EU-Kommissionens standardkontraktbestemmelser fortsat er gyldige og således fortsat kan benyttes som grundlag for overførsler til tredjelande udenfor EU, herunder til USA.

EU-Domstolen fastslår også, at den dataansvarlige i EU, der anvender EU-Kommissionens standardkontraktbestemmelser, i fællesskab med den dataansvarlige eller databehandleren i landet udenfor EU, skal vurdere om lovgivningen i det land, personoplysningerne overføres til, gør det muligt for databehandleren at efterleve de krav, som stilles i standardkontraktbestemmelserne.

Virksomheder pålægges dog at suspendere dataoverførsler til usikre tredjelande, eller at ophæve kontrakten med databehandleren (”dataimportøren”), hvis det vurderes at beskyttelsesniveauet i tredjelandet ikke længere er tilstrækkeligt. Databehandleren pålægges også at underrette den dataansvarlige (”dataeksportøren”), hvis databehandleren ikke længere er i stand til at overholde de vedtagne standardkontraktbestemmelser. Endelig forpligtes tilsynsmyndigheder, herunder det danske Datatilsyn, til at forbyde en overførsel af personoplysninger til et tredjeland, hvis tilsynet finder, at de indgåede standardkontraktbestemmelser fra EU-Kommissionen ikke er overholdt, eller ikke kan overholdes i det pågældende land.

EU/US PRIVACY SHIELD-ORDNINGEN ERKLÆRES UGYLDIG

EU-Domstolen vurderer derimod, at EU/US Privacy Shield-ordningen ikke udgør et tilstrækkeligt beskyttelsesniveau, og erklærer derfor Privacy Shield-ordningen for ugyldig. Afgørelsen er truffet på baggrund EU-Domstolens vurdering af, at den amerikanske lovgivning giver de amerikanske myndigheder mulighed for at foretage masseovervågning på et niveau, der ikke stemmer overens med kravene til beskyttelse af personoplysninger i EU.

Domstolen understreger derudover, at de registrerede ikke får en tilstrækkelig mulighed for at udøve deres rettigheder overfor de amerikanske myndigheder, og at klagemyndighederne ikke har mulighed for at træffe afgørelser og beslutninger, som binder de amerikanske myndigheder.

LUND ELMER SANDAGERS KOMMENTARER

Afgørelsen medfører, at det ikke længere er muligt for virksomheder inden for EU at benytte EU/US Privacy Shield-ordningen som et gyldigt grundlag for overførsel af personoplysninger til USA. Det betyder, at virksomheder, som ønsker at overføre personoplysninger fra EU til USA, fremadrettet skal benytte et andet overførselsgrundlag.

Det er imidlertid ikke afklaret endnu, om virksomheder i stedet må benytte EU-Kommissionens standardkontraktbestemmelser i forbindelse med overførsel af personoplysninger til USA. Med underkendelsen af EU/US Privacy Shield-ordningen har EU-domstolen således også konstateret, at beskyttelsesniveauet for personoplysninger i USA er utilstrækkeligt, hvorfor det kan blive vanskeligt for virksomheder at påvise, at det amerikanske retssystem overholder det nødvendige beskyttelsesniveau af den registreredes personoplysninger. Derfor er det tvivlsomt, om overførsel af personoplysninger til USA kan ske under anvendelse af EU-Kommissionens standardkontraktbestemmelser, selvom standardkontraktbestemmelserne isoleret set stadig er gyldige.

Virksomheder i EU kan fortsat overføre personoplysninger til andre tredjelande på grundlag af EU-kommissionens standardkontraktbestemmelser. Virksomheden skal dog i hvert tilfælde vurdere, om lovgivningen i det land, hvortil personoplysningerne overføres, gør det muligt for den dataansvarlige og for databehandleren at efterleve kravene i standardkontraktbestemmelserne, herunder at sikre et tilstrækkeligt beskyttelsesniveau.

Det bliver meget interessant at følge med i, hvordan tilsynsmyndighederne, herunder det danske Datatilsyn, vil reagere på denne principielle dom fra EU-Domstolen, der trækker gulvtæppet væk under det overførselsgrundlag som mange virksomheder i dag benytter, som grundlag for dataoverførsler til USA. Lund Elmer Sandagers persondatateam vil følge den videre udvikling tæt.

Læs mere om sagens baggrund her og om dommen her.

Har du nogle spørgsmål om afgørelsen i sagen og hvad den betyder for dig, er du velkommen til at kontakte Lund Elmer Sandagers specialister i GDPR og IT-ret, advokat Anders Linde Reislev eller associeret partner, advokat Torsten Hylleberg.