Foreløbig afklaring om overførsel af persondata til USA (Schrems II) og ændringer efter Brexit

Nyhed

26.08.2021

Overførsel af personoplysninger til et tredjeland (uden for EU/EØS) må kun ske med tilstrækkelig sikkerhed for de registrerede. I den såkaldte Schrems II-sag, som EU-domstolen afgjorde den 16. juli 2020, blev det fastslået, at USA’ s databeskyttelsesregler ikke gav tilstrækkelig sikkerhed.

I betragtning af mængden af dataoverførsler mellem EU og USA har dette skabt store problemer for de dataansvarlige i EU. Tilsvarende var overførsler til UK påvirket af Brexit. Men nu ser det ud til, at der kommer en afklaring.

Hvad er Schrems II-afgørelsen?

Dommen handlede om en privat borger (Max Schrems) og Facebook. Dommen afgjorde, at udlevering af persondata for Max Schrems til USA var en krænkelse af EU’s regler om databeskyttelse.

EU-domstolen mente således ikke, at den amerikanske lovgivning (Privacy Shield) ydede beskyttelse svarende til EU-reglerne

Hvem er berørt af afgørelsen?

Afgørelsen berører alle dataansvarlige, der eksporterer data ud af EU, medmindre de eksporterer til et land, som har i det væsentlige samme beskyttelsesniveau for de registrerede som EU.

Da rigtig mange overførsler sker i forbindelse med cloud-løsninger med hjemsted i USA, har afgørelsen stor betydning. Særligt fordi det antages, at det svarer til eksport af data, hvis man fra en lokalitet uden for EU kan tilgå data i EU.

Overførsel af persondata til Storbritannien – Brexit

I forbindelse med Storbritanniens udtræden af EU den 31. januar 2021 blev det aftalt, at GDPR skulle gælde i UK til 1. juli 2021. EU har nu godkendt UK som et ”sikkert tredjeland”, og det betyder, at eksport af data til UK ikke længere strider mod GDPR.

EU's anbefalinger til overførsel af persondata til øvrige tredjelande, herunder USA

For så vidt angår øvrige ikke sikre tredjelande, har EU nu udgivet en vejledning med det mundrette navn:

Standard contractual clauses for international transfers

I vejledningen er der anvisning til, hvordan dataansvarlige i EU skal forholde sig til overførsel af persondata til ikke sikre tredjelande.

Anbefalingerne kan beskrives således

Få overblik over, hvilke dataoverførsler der finder sted
Vurder, om overførselsgrundlaget giver tilstrækkelig beskyttelse
Hvis dette ikke er tilfældet, skal du etablere ”supplerende foranstaltninger” til sikring af de registrerede
Hvis dette ikke er muligt, må overførslen ikke finde sted

Vores anbefalinger

Vi anbefaler, at det kortlægges hurtigst muligt, hvilke overførsler, der finder sted i din virksomhed.

Langt de fleste virksomheder vil enten permanent eller midlertidigt have dataoverførsler til USA og vil skulle gennemgå de processer, der er beskrevet ovenfor.

Gennemgangen af processerne bør dokumenteres i din virksomheds persondatapolitik.

Vi anbefaler også, at du som dataansvarlig få undersøgt hos databehandlerne, om der sker overførsler til tredjelande. Spørgsmålet bør reguleres i databehandleraftalerne og følges op med kontroller i forbindelse med den sædvanlige databehandlerkontrol

Har du spørgsmål eller brug for rådgivning om overførsel af persondata udenfor EU?

Har du spørgsmål eller brug for rådgivning i forbindelse med Schrems II dommen, og hvilken betydning det har for din virksomheds overførsel af persondata til ikke sikre tredjelande som USA, så er du altid velkommen til at kontakte os.