EU-Domstolen underkender endnu en gang Privacy Shield ordningen mellem EU og USA

Sagens faktum

Den østrigske databeskyttelsesaktivist Maximilian Schrems klagede tilbage i 2013 til det irske datatilsyn over Facebooks overførsel af personoplysninger til USA, idet han mente, at Facebooks overførselsgrundlag (EU-Kommissionens standardkontraktbestemmelser) ikke sikrede tilstrækkelig beskyttelse af hans grundlæggende rettigheder.

Ifølge Maximilian kunne amerikanske myndigheder masseovervåge EU-borgeres personoplysninger, når disse blev opbevaret i USA – også selvom det skete på baggrund af EU-kommissionens standardkontraktbestemmelser.

Selvom Maximilian kun anmodede det irske datatilsyn om at suspendere Facebooks overførsel af hans personoplysninger til USA, besluttede datatilsynet alligevel, at det var nødvendigt at få afklaret en række principielle spørgsmål vedrørende kommissionens standardkontraktbestemmelser.

EU-Domstolens afgørelse

EU-Domstolen finder, at Kommissionens standardkontraktbestemmelser fra 2010 er et gyldigt overførselsgrundlag og derved fortsat kan finde anvendelse på overførsel til tredjelande uden for EU/EØS. Baggrunden herfor er, at standardkontraktbestemmelserne som mekanisme kan give det nødvendige beskyttelsesniveau, men rent praktisk vil det kræve, at dataeksportøren, forud for hver dataoverførsel, fortager en vurdering af, om lovgivningen i det pågældende land, hvortil data overføres, muliggør, at kravene i standardkontraktbestemmelserne efterleves og sikrer samme beskyttelsesniveau som i EU/EØS.

EU-Domstolen finder også ved gennemgang af EU/US Privacy Shield ordningen, der er en revidering af den tidligere Safe Habour-ordning, at ordningen ikke er forenelig med databeskyttelsesforordningens artikel 45, stk. 1, sammenholdt med den Europæiske Unions Charter om grundlæggende rettigheder artikel 7, 8 og 47 og underkender dermed Privacy Shield ordningens gyldighed. Begrundelsen herfor er blandt andet, at de begrænsninger, som den amerikanske lovgivning indebærer i relation til de amerikanske myndigheders masseovervågning, ikke er forenelige med kravene til beskyttelse af personoplysninger i EU.

EU-Domstolen fremhævede derudover, at selvom de amerikanske myndigheder – efter amerikansk lov – skal overholde en række krav i forbindelse med implementeringen af overvågningsprogrammer, gives der ikke tilstrækkelig mulighed for, at de registrerede kan udøve deres rettigheder over for de amerikanske myndigheder.   

Fremtidige konsekvenser

Der er ingen tvivl om, at underkendelsen af EU/US Privacy Shield ordningen medvirker til en lang række konsekvenser for mange af de både europæiske og amerikanske virksomheder, der har anvendt Privacy Shield ordningen som overførselsgrundlag siden 2018.

Hvordan EU-Domstolens underkendelse af EU/US Privacy Shield ordningen og udmeldingerne om standardkontraktbestemmelserne rent praktisk skal håndteres kan endnu ikke spås, men Datatilsynet har dog meddelt, at de snarest kommer med en fortolkning af afgørelsen.

Det Europæiske databeskyttelsesråd har offentliggjort en foreløbig FAQ om dommen og dens konsekvenser, som kan findes her

Vores anbefalinger

Afgørelsen har øjebliklig virkning, og derfor anbefaler vi, at man allerede nu begynder at danne sig et overblik over alle tredjelandsoverførsler, der foretages og på hvilket grundlag dette gøres. Ved anvendelse af standardkontraktbestemmelser bør man nøje overveje, om beskyttelsesniveauet i det pågældende land lever op til kravene, og dermed om dataimportøren er i stand til at efterleve aftalen.

I forhold til overførsler af personoplysninger på baggrund af Privacy Shield ordningen afventer vi fortsat, om standardkontraktbestemmelserne kan anvendes, men vi anbefaler, at man allerede nu foretager en vurdering af, hvilket overførselsgrundlag der kan være relevant.

Har du spørgsmål eller brug for rådgivning i forbindelse med ovenstående ændringer eller generelt vedrørende overførsel af personoplysninger til tredjelande, er du meget velkommen til at kontakte vores persondatateam.