Dansk
English
EU-domstolen erklærer Privacy Shield-ordning ugyldig
af Mia Storm, Advokat
EU-domstolen har netop truffet afgørelse i den såkaldte Schrems II-sag, som handler om gyldigheden af EU-kommisionens standardkontrakter for overførsel af persondata til tredjeland og Privacy Shield-ordningen, som regulerer udveksling af data mellem EU og USA.
Sagens baggrund
Sagen er anlagt af den østrigske statsborger og aktivist Maximillian Schrems mod Facebook i Irland. Sagen er anlagt ved de irske domstole, der i forbindelse med sagen har stillet en række spørgsmål til EU-domstolen.
Sagen startede allerede i 2015, da Schrems klagede til det irske datatilsyn, fordi han mente, at Facebook ikke sikrede beskyttelse af hans grundlæggende rettigheder ved at overføre data til USA på grundlag af EU-kommisionens standardkontrakter. Schrems har tidligere klaget over Facebooks overførsel af persondata til USA, hvilket førte til ophævelse af den tidligere Safe Harbour-ordning.
I sin afgørelse opretholder EU-domstolen de standardkontrakter, som EU-kommisionen har udarbejdet. Disse kan således fortsat anvendes, når man som dataansvarlig overfører data til tredjelande uden for EU. Domstolen bemærkede blot, at den dataansvarlige og databehandleren skal foretage en konkret vurdering af, om betingelserne i standardkontrakten reelt kan efterleves under lovgivningen i overførselslandet, eller om der findes nationale regler, som påvirker dette.
Privacy Shield underkendt
EU-domstolen underkendte dog samtidig Privacy Shield-ordningen, der således nu er ugyldig. Afgørelsen begrundes med, at de amerikanske myndigheder har en række beføjelser, bl.a. i forhold til masseovervågning, som ikke er forenelige med kravene om databeskyttelse i EU, og som således begrænser beskyttelsen af EU-borgeres persondata. Selvom de amerikanske myndigheder er underlagt en række krav i forbindelse med implementering af eventuel overvågning, har EU-borgere ikke reel mulighed for at udøve sine rettigheder over for de amerikanske myndigheder, og derfor lever ordningen ikke op til reglerne.
Underkendelsen af Privacy Shield-ordningen medfører, at dataansvarlige, der baserer overførsel af persondata til USA på denne ordning, skal finde et andet grundlag for overførslen. Alle overførsler, der baserer sig på Privacy Shield-ordningen skal suspenderes indtil der er fundet et andet grundlag, hvilket i praksis betyder, at dataansvarlige er nødt til at tage deres forholdsregler nu og tænke i alternativer. Dette vil utvivlsomt berøre mange virksomheder, da en stor del af de mest anvendte udbydere af f.eks. cloudlagring, nyhedsbreve, hosting mm. er placeret i USA.
Datatilsynet vurderer
Datatilsynet har allerede meldt ud, at de vil gennemgå dommen snarest og herefter komme med en udtalelse. Ligeledes vil de drøfte dommen og dens konsekvenser med de øvrige datatilsyn i EU, og forhåbningen er således, at der kan blive enighed om et tilstrækkeligt alternativt til Privacy Shield-ordningen eller en midlertidig løsning, mens de dataansvarlige i EU får implementeret standardkontrakter med deres amerikanske databehandlere.
Vi følger naturligvis sagen tæt. Har du spørgsmål til persondata eller anvendelsen af EU-kommisionens standardkontrakter, er du velkommen til at kontakte os på tlf. 70 22 88 68 eller mail@otello.dk.