Datatilsynet udtaler sig om Safe Harbor-afgørelsen

Det er ikke længere muligt at overføre personoplysninger til USA på grundlag af Safe Harbor-ordningen. Det er konsekvensen, efter EU-Domstolen den 6. oktober 2015 har erklæret Safe Harbor-ordningen for ugyldig. Nu har det danske Datatilsyn udsendt sine bemærkninger til afgørelsen.

Den 6. oktober 2015 erklærede EU-Domstolen Safe Harbor-ordningen ugyldig i forbindelse med sin afgørelse af den omtalte Facebook-dom eller Safe Harbor-afgørelse (C-362/14).

Afgørelsen betyder, at personoplysninger ikke længere kan overføres til USA på grundlag af Safe Harbor-ordningen, der har været i kraft siden år 2000. I kølvandet på EU-Domstolens afgørelse har både virksomheder og myndigheder i hele Europa været optagede af at etablere nye grundlag for at overføre personoplysninger til amerikanske koncernselskaber og samarbejdspartnere.

Safe Harbor-afgørelsen diskuteres i Bruxelles

Safe Harbor-afgørelsen er blevet behandlet på flere møder i Bruxelles, og den 15. oktober 2015 blev holdt den såkaldte Artikel 29-gruppe, der består af alle de europæiske datatilsyn, møde. Artikel 29-gruppen har efterfølgende udsendt en pressemeddelelse med gruppens bemærkninger og anbefalinger.

Også Europa-Kommissionen har udsendt en pressemeddelelse med sine betragtninger om afgørelsen, ligesom flere af de nationale europæiske datatilsyn også har kommenteret afgørelsen.

Bemærkninger fra det danske Datatilsyn

Det danske Datatilsyn har netop udsendt sine bemærkninger til Safe Harbor-afgørelsen. Datatilsynet fremhæver følgende vigtige budskaber af Artikel 29-gruppens meddelelse:

• Det er nødvendigt, at de europæiske datatilsyn har en fælles tilgang til implementeringen af dommen fra EU-Domstolen.


• Massiv og diskriminerende overvågning (indsamling af oplysninger om EU-borgere) er ikke foreneligt med EU’s databeskyttelsesregler, og de eksisterende overførselsgrundlag er ikke løsningen i forhold til denne problemstilling.


• Medlemsstaterne og de europæiske institutioner bør hurtigst muligt indlede drøftelser med de amerikanske myndigheder med henblik på at finde juridiske og tekniske løsninger, der kan muliggøre overførsler til USA med respekt for de fundamentale rettigheder i forhold til databeskyttelse.


• Artikel 29-gruppen vil fortsætte med at analysere konsekvenserne af dommen i relation til de øvrige overførselsgrundlag, herunder Kommissionens standardkontrakter og Binding Corporate Rules.


• Imens Artikel 29-gruppen foretager ovennævnte analyse, vil Kommissionens standardkontrakter og Binding Corporate Rules som udgangspunkt fortsat kunne benyttes som overførselsgrundlag.


• Hvis der med udgangen af januar 2016 ikke er fundet en hensigtsmæssig løsning med de amerikanske myndigheder, vil de europæiske datatilsyn – afhængigt af udfaldet af de fortsatte analyser af de øvrige overførselsgrundlag – foretage de nødvendige og hensigtsmæssige håndhævelsesforanstaltninger.

Tilladelse på grundlag af Safe Harbor er ikke længere gældende

Datatilsynets konklusion er, at danske myndigheder og virksomheder, der tidligere har fået en tilladelse fra Datatilsynet til at overføre personoplysninger på grundlag af Safe Harbor-ordningen, ikke længere kan støtte ret på denne tilladelse.

Anbefalingen er derfor, at oplysninger ikke overføres til amerikanske virksomheder, før der er etableret et nyt grundlag (fx Kommissionens Standardkontrakter, Binding Corporate Rules eller samtykke fra det enkelte datasubjekt).

---