Jurainfo logo
LUK
Juridiske nyheder Arrangementer Find juridisk specialist Domme
Om Jurainfo Bliv samarbejdspartner Juridiske links Privatlivspolitik Kontakt
Artikel

EU-Domstolen erklærer Privacy Shield-ordningen ugyldig

Bech Bruun
17/07/2020
1.101
EU-Domstolen erklærer Privacy Shield-ordningen ugyldig
Bech Bruun logo
Den 16. juli 2020 traf EU-Domstolen afgørelse i den såkaldte Schrems II-sag, som vedrører gyldigheden af EU-Kommissionens standardkontraktbestemmelser for overførsel af personoplysninger til tredjelande og EU/US Privacy Shield-ordningen.


Sagen var anlagt af den østrigske statsborger og databeskyttelsesaktivist Maximillian Schrems mod Facebook Ireland Limited ved de irske domstole, der i forbindelse med sagen stillede en række spørgsmål til EU-Domstolen.

Schrems indgav i december 2015 en klage til det irske datatilsyn, fordi han mente, at Facebooks overførsel af hans personoplysninger til USA på grundlag af EU-Kommissionens standardkontraktbestemmelser (Standard Contractual Clauses – SCC) ikke sikrede tilstrækkelig beskyttelse af Schrems’ grundlæggende rettigheder. Schrems’ begrundelse var, at de amerikanske myndigheder foretager masseovervågning af EU-borgeres personoplysninger, når oplysningerne opbevares i USA, og at denne masseovervågning sker uden tilstrækkelig beskyttelse mod de indgreb, der er forbundet med den. På den baggrund anmodede Schrems den irske tilsynsmyndighed om at suspendere Facebooks overførsel af hans personoplysninger.

Selvom Schrems’ anmodning alene gik på at suspendere overførslen af hans personoplysninger på baggrund af de specifikke standardkontraktbestemmelser, og ikke på at erklære Kommissionens standardkontraktbestemmelser ugyldige, besluttede den irske tilsynsmyndighed, at det var nødvendigt at få afklaret en række principielle spørgsmål vedrørende Kommissionens standardkontraktbestemmelser.

Sagen er en forlængelse af Schrems’ tidligere klager om Facebooks overførsel af personoplysninger til USA på grundlag af den tidligere Safe Harbour-ordning, der i 2015 blev erklæret ugyldig af EU-Domstolen.

Generaladvokaten gav den 19. december 2019 sit forslag til afgørelse af sagen. EU-domstolen har i sin afgørelse imidlertid kun delvist fulgt dette forslag, og har, på trods af at sagen alene vedrørte gyldigheden af EU-Kommissionens standardkontraktbestemmelser, også taget stilling til gyldigheden af EU/US Privacy Shield-ordningen.


EU-Kommissionens standardkontraktbestemmelser


EU-Domstolen er kommet frem til, at EU-Kommissionens standardkontraktbestemmelser fra 2010 fortsat er gyldige og derved fortsat kan finde anvendelse på overførsler til tredjelande udenfor EU.

EU-Domstolen fastslår, at eksportører af personoplysninger (dataansvarlige i EU), der anvender Kommissionens standardkontraktbestemmelser, sammen med importøren (den dataansvarlige eller databehandleren i et land udenfor EU) skal foretage en konkret vurdering af, om lovgivningen i det land, personoplysningerne overføres til, muliggør, at importøren reelt kan efterleve de krav (fx efterlevelse af dataeksportørens instruks), der stilles i standardkontraktbestemmelserne.

Baggrunden for, at EU-Domstolen har fundet, at standardkontraktbestemmelserne fortsat er tilstrækkelige som grundlag for overførsel af personoplysninger til tredjelande, er bl.a., at bestemmelserne indeholder en forpligtelse for importøren af personoplysningerne til at underrette eksportøren, hvis der opstår omstændigheder, hvor det ikke er muligt for importøren at efterleve standardkontraktbestemmelserne. Eksportøren er i så fald berettiget til at suspendere overførslen. EU-Domstolen har i den forbindelse fundet, at eksportøren i sådanne tilfælde ikke bare er berettiget, men forpligtet til at suspendere overførslen. Suspenderer eksportøren ikke overførslen i sådanne tilfælde, er den kompetente tilsynsmyndighed forpligtet til at foretage suspensionen.


EU/US Privacy Shield-ordningen


EU-Domstolen har i sin afgørelse også vurderet, at EU/US Privacy Shield-ordningen er ugyldig. Derved underkendes Kommissionens afgørelse 2016/1250.

Denne del af afgørelsen begrundes med, at de begrænsninger i beskyttelsen af personoplysninger, som den amerikanske lovgivning indebærer i relation til de amerikanske myndigheders masseovervågning, ikke er forenelige med kravene til beskyttelse af personoplysninger i EU, blandt andet fordi overvågningen ikke er proportionel, da den ikke er begrænset til det strengt nødvendige.

Domstolen pointerer derudover, at selvom de amerikanske myndigheder skal overholde en række krav i forbindelse med implementering af overvågningsprogrammer, gives der ikke de registrerede en reel og tilstrækkelig mulighed for at kunne udøve deres rettigheder overfor de amerikanske myndigheder. Dette begrundes blandt andet med, at klageorganet ikke er sikret tilstrækkelig uafhængighed, og at der ikke eksisterer regler, der giver den relevante klagemyndighed mulighed for at vedtage beslutninger og afgørelser, der er bindende for de amerikanske myndigheder.


Bech-Bruuns kommentar


EU-Domstolens afgørelse i Schrems II-sagen indebærer, at Kommissionens standardkontraktbestemmelser fortsat kan anvendes som overførselsgrundlag, men at det er nødvendigt at være opmærksom på, om der er regler i importørens land, der gør det umuligt for importøren at efterleve forpligtelserne i standardkontraktbestemmelserne. Er det tilfældet, skal påtænkte overførsler ikke iværksættes eller eksisterende overførsler suspenderes. Det må i den forbindelse forventes, at de europæiske tilsynsmyndigheder fremadrettet vil have øget fokus på beskyttelsesniveauet i eksisterende standardkontraktbestemmelser, som – hvis de ikke vurderes som tilstrækkelige – har risiko for at blive suspenderet.

Dette medfører, at eksportører, der overfører personoplysninger til tredjelande på baggrund af Kommissionens standardkontraktbestemmelser, i hvert enkelt tilfælde skal vurdere, om lovgivningen i importørens land muliggør, at kravene i standardkontraktbestemmelserne efterleves.

Underkendelsen af EU/US Privacy Shield-ordningen medfører, at dataansvarlige, der baserer overførsler af personoplysninger til USA på denne ordning, skal etablere et andet overførselsgrundlag, og at overførsler af personoplysninger, der er baseret på EU/US Privacy Shield-ordningen, skal suspenderes, indtil der er etableret et nyt, tilstrækkeligt overførselsgrundlag. Dataansvarlige, der overfører personoplysninger til USA, bør derfor straks forholde sig til og vurdere tilstrækkeligheden af deres overførselsgrundlag.

Fremadrettet bør databehandleraftaler, som i forbindelse med tredjelandsoverførsler suppleres af standardkontraktbestemmelse, i højere grad, end det har været tilfældet hidtil, fokusere på de forpligtelser, som parterne skal efterleve i deres roller som eksporterer og importører.

I lyset af Schrems II-afgørelsen anbefaler Bech-Bruun, at dataansvarlige gennemgår alle deres eksisterende overførsler af personoplysninger til tredjelande, som er baseret på standardkontraktbestemmelser eller Privacy Shield, og vurderer om beskyttelsesniveauet i de pågældende tredjelande er tilstrækkeligt, samt etablerer alternative overførselsgrundlag for overførsler til USA, som tidligere har været baseret på Privacy Shield.

Hos Bech-Bruun er vi specialiserede i de databeskyttelsesretlige regler, herunder overførsel af personoplysninger til tredjelande. Har I behov for rådgivning om overførsel af personoplysninger til tredjelande og de krav, som stilles i den forbindelse, er I meget velkomne til at kontakte én af vores specialister på området.
Har du spørgsmål til dette indlæg, er du mere end velkommen til at kontakte os. Du finder kontaktoplysningerne nedenfor.
Gå ikke glip af vigtig juridisk viden - Tilmeld dig vores nyhedsservice her.
Bech Bruun logo
København
Langelinie Allé 35
2100 København Ø
72 27 00 00
72 27 00 27
info@bechbruun.com
Aarhus
Værkmestergade 2
8000 Aarhus C
New York
412 West 15th Street, 15th
New York 10011
Shanghai
No.1440 Yan'an Middle Road
Suite 2H08, Jing'an District
200040 Shanghai
Ledige jobs
Jurainfo logo
Annoncér dit stillingsopslag her og nå ud til mere end 30.000 månedlige besøgende

Juridiske nyheder & artikler

Hold dig opdateret på de seneste juridiske nyheder eller søg blandt de mere end 4.000 artikler som allerede er udgivet. Vi har samlet det vigtigste viden ét sted.

Juridiske kurser & arrangementer

Find nemt dit næste kursus eller anden relevant efteruddannelse inden for dit felt. Søg på tværs af fagområder fra en række forskellige udbydere.

Find Juridisk Specialist

Brug for en advokat? Søg efter verificerede specialister på tværs af advokatbranchen og find en specialist inden for det område, hvor du søger råd og vejledning.

Nyhedsservice
Gå ikke glip af vigtig juridisk viden
Vælg selv dine interesseområder og modtag juridisk nyt fra landets førende specialister.
Tilmeld dig nu
Artikler, der kunne være relevante for dig
Datatilsynet reviderer vejledning om databeskyttelse og ansættelsesforhold
Datatilsynet reviderer vejledning om databeskyttelse og ansættelsesforhold
I går
Persondata, Ansættelses- og arbejdsret
Nu bliver det nemmere at optage telefonsamtaler
Nu bliver det nemmere at optage telefonsamtaler
01/12/2020
Persondata
Internationale overførsler - Nye Standard Contractual Clauses i høring
Internationale overførsler - Nye Standard Contractual Clauses i høring
17/11/2020
Persondata
Nye EU-anbefalinger om internationale overførsler af personoplysninger – hvad gælder nu?
Nye EU-anbefalinger om internationale overførsler af personoplysninger – hvad gælder nu?
13/11/2020
Persondata
Ansvarsmaksimering for tredjemands databeskyttelsesretlige krav i it-kontrakter - to do or not to do?
Ansvarsmaksimering for tredjemands databeskyttelsesretlige krav i it-kontrakter - to do or not to do?
11/11/2020
Persondata
Virksomhed kritiseret for behandling af oplysninger om opsagt medarbejder
Virksomhed kritiseret for behandling af oplysninger om opsagt medarbejder
04/11/2020
Persondata, Ansættelses- og arbejdsret
Jurainfo logo

Jurainfo.dk er landets største juridiske online-platform samt formidler af juridisk viden. Her finder du juridiske nyheder, kurser og arrangementer. Vi hjælper dagligt danske virksomheder med at tilegne sig juridisk viden samt at sætte virksomheder i forbindelse med den rigtige juridiske rådgiver, når de har brug for råd og vejledning.

Jurainfo.dk ApS
Vandtårnsvej 77, DK-2860 Søborg
E-mail: kontakt@jurainfo.dk
CVR-nr. 38375563
© 2020 Jurainfo.dk - Juridiske nyheder og arrangementer samlet ét sted