[ GDPR: Overførsler af data til usikre tredjelande kræver vurdering af landets sikkerhedsniveau ]

Skrevet 17. juli, 2020
I en principiel dom af 16. juli 2020 fastslår EU-Domstolen, at virksomheder, som overfører personoplysninger til lande uden for EU/EØS, herunder til USA, skal sikre, at der i det pågældende land ydes en tilstrækkelig beskyttelse efter EU-standarder.

Domstolen vurderede på baggrund heraf, at den imellem EU og USA indgåede Privacy Shield-ordning ikke længere er gyldig, fordi ordningen ikke yder den fornødne sikkerhed.

 

EU-US Privacy Shield er en ramme for regulering af transatlantisk udveksling af personoplysninger til kommercielle formål mellem Den Europæiske Union og USA.

 

EU Kommissionens kontraktbestemmelser (SCC) udgør dog fortsat et gyldigt overførselsgrundlag, men kan ikke i sig selv danne grundlag for en lovlig overførsel. Virksomheder der overfører og modtager oplysningerne skal samtidig sikre, at kontraktbestemmelserne også kan overholdes.

 

Afgørelsen må forventes at få vidtrækkende konsekvenser for virksomheder, der overfører oplysninger på grundlag af enten Privacy Shield-ordningen eller SCC, og det anbefales, at man sikrer, at man fortsat har et lovligt grundlag for sine overførsler, og at det land, som oplysningerne overføres til, har et tilstrækkeligt beskyttelsesniveau, sådan at SCC kan overholdes.

 

Baggrund

EU-Domstolen har behandlet en række spørgsmål om lovligheden af overførsler af personoplysninger fra EU til USA på baggrund af EU Kommissionens standardkontraktbestemmelser og EU - U.S. Privacy Shield-ordningen.

 

Spørgsmålene udsprang af en sag, hvor den østrigske datarettighedsforkæmper, Maximillian Schrems, klagede over Facebook Irelands overførsel af personoplysninger til moderselskabet Facebook Inc. i USA på baggrund af SCC.

 

Problemet, ifølge Schrems, bestod i, at når oplysningerne overføres til USA, så følger det af amerikansk lovgivning, at en række amerikanske myndigheder, herunder NSA, FBI og CIA, skal have adgang til oplysningerne til brug for masseovervågning. 

 

Personoplysninger om Facebookbrugere i EU tilgår således amerikanske myndigheder, der har vidtgående beføjelser med hensyn til deres behandling af oplysningerne. Disse myndigheder er ikke underlagt GDPR og har ligeledes ikke indgået nogen aftale med Facebook Ireland om behandlingen.

 

På dette grundlag vurderede EU-Domstolen, om SCC alternativt Privacy Shield-ordningen fortsat udgør lovlige overførselsgrundlag.

 

Standardkontraktbestemmelser

Domstolen fandt, for så vidt angår SCC, at virksomheder ved tredjelandsoverførsler fortsat godt kan anvende standardkontraktbestemmelserne som et lovligt overførselsgrundlag. Dog skal man parallelt hermed sikre, at lovgivningen i tredjelandet ikke i realiteten forhindrer parterne i at overholde bestemmelserne.

 

Domstolen vurderede i forhold til overførsler fra EU til USA, at den amerikanske lovgivning ikke yder en tilstrækkelig sikkerhed, sammenlignet med de regler, der gælder for EU.

 

Domstolen fastslog:

 

”It is therefore, above all, for that controller or processor to verify, on a case-by-case basis and, where appropriate, in collaboration with the recipient of the data, whether the law of the third country of destination ensures adequate protection, under EU law, of personal data transferred pursuant to standard data protection clauses, by providing, where necessary, additional safeguards to those offered by those clauses.”

 

Hvis man således overfører personoplysninger til tredjelande, er det vigtigt at man, forud for overførslen, sikrer, at de forpligtelser, som udspringer af SCC, også kan efterleves, og at personerne, der behandles oplysninger om, er sikret samme rettigheder, som hvis behandlingen var sket i EU.

 

Privacy Shield-ordningen

På ovenstående grundlag fandt Domstolen også, at Privacy Shield-ordningen er ugyldig.