EU-domstolen har i går kendt den såkaldte ”Safe Harbour-ordning” ugyldig og dermed fjernet grundlaget for mange tusinde virksomheders muligheder for at overføre persondata fra EU til USA.
Safe Harbour-ordningen er en certificeringsordning, som kom i stand i år 2000 med henblik på at sikre, at EU-borgernes data behandles forsvarligt, selvom de overføres til lande med svagere beskyttelsesregler på området end EU, f.eks. USA. Ordningen har været anvendt af tusindvis af amerikanske virksomheder over for deres europæiske kunder og samarbejdsparter, og har indtil i går fungeret på den måde, at EU accepterede overførsel til USA, hvis overførslen skete til et Safe Habour-certificeret firma. Certificeringen er sket ved, at firmaerne har registeret sig hos det amerikanske handelsministerium og i den forbindelse har erklæret at overholde EU’s databeskyttelsesregler.
Opmærksomheden på den eventuelle sikkerhedsmæssige svaghed i ordningen opstod i forbindelse med, at den tidligere NSA ansatte, Edward Snowden, afslørede hvordan USA's efterretningstjeneste stort set havde uhindret adgang til at spionere i de data, som Facebook og andre lignende techgiganter gemmer i deres databaser om internettets brugere.
Kort sagt har EU-domstolen nu - på grund af de amerikanske myndigheders mulighed for at tilgå persondata overført fra EU til USA - fastlagt, at ordningen ikke længere yder tilstrækkelig beskyttelse af EU borgerenes data, når disse overføres til USA.
Sagen blev oprindeligt indbragt for det irske datatilsyn, der afviste at behandle den. Nu har EU-Domstolen pålagt det irske datatilsyn at genoptage den konkrete sag vedrørende Facebook og udføre en tilbundsgående undersøgelse af, om overførslen af data fra EU’s Facebookbrugere til USA skal stoppes på grundlag af, at USA ikke yder tilstrækkelig beskyttelse for behandlingen af personoplysningerne.
Afgørelsen betyder bl.a. at det nu er op til de nationale myndigheder i de enkelte EU-lande at sætte restriktioner op for, og om nødvendigt stoppe overførslen af data til USA, hvis det sker på baggrund af en Safe Habour-certificering.
Udfaldet af tilsynets undersøgelse må forventes at få vidtrækkende konsekvenser for titusinder af virksomheder, der overfører personoplysninger på linje med Facebook, og disse virksomheder må forventes at skulle finde en anden hjemmel til at overføre data ud af EU.
Når den nye EU-Forordning med tilhørende stramning af reglerne forventes vedtaget i begyndelsen af 2016, må mere komplicerede processer, som eksempelvis Binding Corporate Rules (rammeværk for overførsel internt i internationale koncerner), forventes at blive den anvendte model og dermed juridiske hjemmel for overførsel af data ud af EU. Dog forventes det også af iagttagere, at der vil blive overvejet at arbejde på en ny Safe Harbour-ordning, men om sådan en vedtages, og i givet fald hvornår og på hvilke vilkår, er svært at gisne om. DELACOUR følger naturligvis udviklingen tæt i vores nyhedsbrev.
Hele EU-domstolens afgørelse kan læses
her.
Kontakt DELACOUR, hvis du vil vide mere om konsekvenserne af EU-dommen eller har spørgsmål omkring persondata.
Gå ikke glip af vigtig juridisk viden - Tilmeld dig vores gratis nyhedsservice
her →
-medium.jpg)
-medium.jpg)
