Jurainfo logo
LUK
Juridiske nyheder Arrangementer Find juridisk specialist Domme
Om Jurainfo Bliv samarbejdspartner Juridiske links Privatlivspolitik Kontakt
Artikel

EU-Domstolen erklærer Privacy Shield-ordningen ugyldig

Bech Bruun
17/07/2020
886
EU-Domstolen erklærer Privacy Shield-ordningen ugyldig
Bech Bruun logo
Den 16. juli 2020 traf EU-Domstolen afgørelse i den såkaldte Schrems II-sag, som vedrører gyldigheden af EU-Kommissionens standardkontraktbestemmelser for overførsel af personoplysninger til tredjelande og EU/US Privacy Shield-ordningen.


Sagen var anlagt af den østrigske statsborger og databeskyttelsesaktivist Maximillian Schrems mod Facebook Ireland Limited ved de irske domstole, der i forbindelse med sagen stillede en række spørgsmål til EU-Domstolen.

Schrems indgav i december 2015 en klage til det irske datatilsyn, fordi han mente, at Facebooks overførsel af hans personoplysninger til USA på grundlag af EU-Kommissionens standardkontraktbestemmelser (Standard Contractual Clauses – SCC) ikke sikrede tilstrækkelig beskyttelse af Schrems’ grundlæggende rettigheder. Schrems’ begrundelse var, at de amerikanske myndigheder foretager masseovervågning af EU-borgeres personoplysninger, når oplysningerne opbevares i USA, og at denne masseovervågning sker uden tilstrækkelig beskyttelse mod de indgreb, der er forbundet med den. På den baggrund anmodede Schrems den irske tilsynsmyndighed om at suspendere Facebooks overførsel af hans personoplysninger.

Selvom Schrems’ anmodning alene gik på at suspendere overførslen af hans personoplysninger på baggrund af de specifikke standardkontraktbestemmelser, og ikke på at erklære Kommissionens standardkontraktbestemmelser ugyldige, besluttede den irske tilsynsmyndighed, at det var nødvendigt at få afklaret en række principielle spørgsmål vedrørende Kommissionens standardkontraktbestemmelser.

Sagen er en forlængelse af Schrems’ tidligere klager om Facebooks overførsel af personoplysninger til USA på grundlag af den tidligere Safe Harbour-ordning, der i 2015 blev erklæret ugyldig af EU-Domstolen.

Generaladvokaten gav den 19. december 2019 sit forslag til afgørelse af sagen. EU-domstolen har i sin afgørelse imidlertid kun delvist fulgt dette forslag, og har, på trods af at sagen alene vedrørte gyldigheden af EU-Kommissionens standardkontraktbestemmelser, også taget stilling til gyldigheden af EU/US Privacy Shield-ordningen.


EU-Kommissionens standardkontraktbestemmelser


EU-Domstolen er kommet frem til, at EU-Kommissionens standardkontraktbestemmelser fra 2010 fortsat er gyldige og derved fortsat kan finde anvendelse på overførsler til tredjelande udenfor EU.

EU-Domstolen fastslår, at eksportører af personoplysninger (dataansvarlige i EU), der anvender Kommissionens standardkontraktbestemmelser, sammen med importøren (den dataansvarlige eller databehandleren i et land udenfor EU) skal foretage en konkret vurdering af, om lovgivningen i det land, personoplysningerne overføres til, muliggør, at importøren reelt kan efterleve de krav (fx efterlevelse af dataeksportørens instruks), der stilles i standardkontraktbestemmelserne.

Baggrunden for, at EU-Domstolen har fundet, at standardkontraktbestemmelserne fortsat er tilstrækkelige som grundlag for overførsel af personoplysninger til tredjelande, er bl.a., at bestemmelserne indeholder en forpligtelse for importøren af personoplysningerne til at underrette eksportøren, hvis der opstår omstændigheder, hvor det ikke er muligt for importøren at efterleve standardkontraktbestemmelserne. Eksportøren er i så fald berettiget til at suspendere overførslen. EU-Domstolen har i den forbindelse fundet, at eksportøren i sådanne tilfælde ikke bare er berettiget, men forpligtet til at suspendere overførslen. Suspenderer eksportøren ikke overførslen i sådanne tilfælde, er den kompetente tilsynsmyndighed forpligtet til at foretage suspensionen.


EU/US Privacy Shield-ordningen


EU-Domstolen har i sin afgørelse også vurderet, at EU/US Privacy Shield-ordningen er ugyldig. Derved underkendes Kommissionens afgørelse 2016/1250.

Denne del af afgørelsen begrundes med, at de begrænsninger i beskyttelsen af personoplysninger, som den amerikanske lovgivning indebærer i relation til de amerikanske myndigheders masseovervågning, ikke er forenelige med kravene til beskyttelse af personoplysninger i EU, blandt andet fordi overvågningen ikke er proportionel, da den ikke er begrænset til det strengt nødvendige.

Domstolen pointerer derudover, at selvom de amerikanske myndigheder skal overholde en række krav i forbindelse med implementering af overvågningsprogrammer, gives der ikke de registrerede en reel og tilstrækkelig mulighed for at kunne udøve deres rettigheder overfor de amerikanske myndigheder. Dette begrundes blandt andet med, at klageorganet ikke er sikret tilstrækkelig uafhængighed, og at der ikke eksisterer regler, der giver den relevante klagemyndighed mulighed for at vedtage beslutninger og afgørelser, der er bindende for de amerikanske myndigheder.


Bech-Bruuns kommentar


EU-Domstolens afgørelse i Schrems II-sagen indebærer, at Kommissionens standardkontraktbestemmelser fortsat kan anvendes som overførselsgrundlag, men at det er nødvendigt at være opmærksom på, om der er regler i importørens land, der gør det umuligt for importøren at efterleve forpligtelserne i standardkontraktbestemmelserne. Er det tilfældet, skal påtænkte overførsler ikke iværksættes eller eksisterende overførsler suspenderes. Det må i den forbindelse forventes, at de europæiske tilsynsmyndigheder fremadrettet vil have øget fokus på beskyttelsesniveauet i eksisterende standardkontraktbestemmelser, som – hvis de ikke vurderes som tilstrækkelige – har risiko for at blive suspenderet.

Dette medfører, at eksportører, der overfører personoplysninger til tredjelande på baggrund af Kommissionens standardkontraktbestemmelser, i hvert enkelt tilfælde skal vurdere, om lovgivningen i importørens land muliggør, at kravene i standardkontraktbestemmelserne efterleves.

Underkendelsen af EU/US Privacy Shield-ordningen medfører, at dataansvarlige, der baserer overførsler af personoplysninger til USA på denne ordning, skal etablere et andet overførselsgrundlag, og at overførsler af personoplysninger, der er baseret på EU/US Privacy Shield-ordningen, skal suspenderes, indtil der er etableret et nyt, tilstrækkeligt overførselsgrundlag. Dataansvarlige, der overfører personoplysninger til USA, bør derfor straks forholde sig til og vurdere tilstrækkeligheden af deres overførselsgrundlag.

Fremadrettet bør databehandleraftaler, som i forbindelse med tredjelandsoverførsler suppleres af standardkontraktbestemmelse, i højere grad, end det har været tilfældet hidtil, fokusere på de forpligtelser, som parterne skal efterleve i deres roller som eksporterer og importører.

I lyset af Schrems II-afgørelsen anbefaler Bech-Bruun, at dataansvarlige gennemgår alle deres eksisterende overførsler af personoplysninger til tredjelande, som er baseret på standardkontraktbestemmelser eller Privacy Shield, og vurderer om beskyttelsesniveauet i de pågældende tredjelande er tilstrækkeligt, samt etablerer alternative overførselsgrundlag for overførsler til USA, som tidligere har været baseret på Privacy Shield.

Hos Bech-Bruun er vi specialiserede i de databeskyttelsesretlige regler, herunder overførsel af personoplysninger til tredjelande. Har I behov for rådgivning om overførsel af personoplysninger til tredjelande og de krav, som stilles i den forbindelse, er I meget velkomne til at kontakte én af vores specialister på området.
Har du spørgsmål til dette indlæg, er du mere end velkommen til at kontakte os. Du finder kontaktoplysningerne nedenfor.
Gå ikke glip af vigtig juridisk viden - Tilmeld dig vores nyhedsservice her.
Bech Bruun logo
København
Langelinie Allé 35
2100 København Ø
72 27 00 00
72 27 00 27
info@bechbruun.com
Aarhus
Værkmestergade 2
8000 Aarhus C
New York
412 West 15th Street, 15th
New York 10011
Shanghai
No.1440 Yan'an Middle Road
Suite 2H08, Jing'an District
200040 Shanghai

Juridiske nyheder & artikler

Hold dig opdateret på de seneste juridiske nyheder eller søg blandt de mere end 4.000 artikler som allerede er udgivet. Vi har samlet det vigtigste viden ét sted.

Juridiske kurser & arrangementer

Find nemt dit næste kursus eller anden relevant efteruddannelse inden for dit felt. Søg på tværs af fagområder fra en række forskellige udbydere.

Find Juridisk Specialist

Brug for en advokat? Søg efter verificerede specialister på tværs af advokatbranchen og find en specialist inden for det område, hvor du søger råd og vejledning.

Nyhedsservice
Gå ikke glip af vigtig juridisk viden
Vælg selv dine interesseområder og modtag juridisk nyt fra landets førende specialister.
Tilmeld dig nu
Artikler, der kunne være relevante for dig
Skabelon til samtykke: Sådan indhenter og behandler du kontakt­oplysninger på dine gæster
Skabelon til samtykke: Sådan indhenter og behandler du kontakt­oplysninger på dine gæster
10/09/2020
Persondata
Ny afgørelse om brug af medarbejderes fingeraftryk ved adgangskontrol
Ny afgørelse om brug af medarbejderes fingeraftryk ved adgangskontrol
11/08/2020
Persondata
Derfor kunne sejlklub lovligt offentliggøre person­oplysninger i gamle klubblade
Derfor kunne sejlklub lovligt offentliggøre person­oplysninger i gamle klubblade
07/08/2020
Persondata
Kritik fra Datatilsynet: Tidligere medarbejder har ret til at blive glemt
Kritik fra Datatilsynet: Tidligere medarbejder har ret til at blive glemt
06/08/2020
Persondata
Datatilsynet indstiller administrationsselskab til en bøde på 150.000 kr. for videregivelse af personoplysninger
Datatilsynet indstiller administrationsselskab til en bøde på 150.000 kr. for videregivelse af personoplysninger
06/08/2020
Persondata
Datatilsynet indstiller hotelkæde til bøde på 1,1 mio. kr. for manglende sletning
Datatilsynet indstiller hotelkæde til bøde på 1,1 mio. kr. for manglende sletning
05/08/2020
Persondata
Jurainfo logo

Jurainfo.dk er landets største juridiske online-platform samt formidler af juridisk viden. Her finder du juridiske nyheder, kurser og arrangementer. Vi hjælper dagligt danske virksomheder med at tilegne sig juridisk viden samt at sætte virksomheder i forbindelse med den rigtige juridiske rådgiver, når de har brug for råd og vejledning.

Jurainfo.dk ApS
Vandtårnsvej 77, DK-2860 Søborg
E-mail: kontakt@jurainfo.dk
CVR-nr. 38375563
Følg Jurainfo.dk på:
© 2020 Jurainfo.dk - Juridiske nyheder og arrangementer samlet ét sted