Anvendelsen af ugyldige Safe Harbor-ordninger får konsekvenser

Kommissæren for det tyske datatilsyn i Hamborg (HmbBfDI) annoncerede i slutningen af februar 2016, at tilsynet havde indledt tre sager mod unavngivne datterselskaber til amerikanske selskaber for ikke at overholde reglerne for lovlig overførsel af personoplysninger fra EU/EØS til USA.

Tilsynets granskning af selskaberne skal ses i lyset af, at Safe Harbor-ordningen mellem EU og USA blev erklæret ugyldig af EU-domstolen i sagen mellem den østrigske statsborger, Maximillian Schrems, og det irske datatilsyn. Derfor udgør Safe Harbor-ordningen ikke et gyldigt grundlag for overførsel af personoplysninger fra EU/EØS til USA.

Det tyske tilsyns granskning af virksomheder, der overfører personoplysninger fra EU/EØS til USA på utilstrækkeligt grundlag, kan ses som varsel for en handlekraft, der med rimelighed også må kunne forventes iværksat fra de forskellige datatilsyn i EU/EØS og derfor også i Danmark, hvor Datatilsynet tidligere har udtalt, at Safe Harbor-ordningen er ugyldig.

SÆRLIGT FOR DANSKE VIRKSOMHEDER

Det betyder, at virksomheder, der fortsat lader deres overførsel af personoplysninger til USA hvile på den ugyldige Safe Harbor-ordning, risikerer at komme i Datatilsynets søgelys.

Derfor er det oplagt, at virksomheder, der overfører data fra EU/EØS til USA, efterser deres juridiske grundlag for dataoverførslerne og i den forbindelse iagttager kravene til indgåelse af EU-Standard Contractual Model Clauses og Binding Corporate Rules.

EU-Kommissionen meddelte den 2. februar 2016, at Safe Harbor-ordningen vil blive erstattet med EU-USA Privacy Shield. Den nye ordningen er fortsat ikke godkendt. Kromann Reumert følger udviklingen.

Kromann Reumert har tidligere udsendt nyhedsbreve om EU-Domstolens afgørelse om Safe Harbor-ordningens ugyldighed med beskrivelser af dommens konsekvenser for danske virksomheder.

---