Nyhed

EU-dom om Safe Harbour-principperne – hvad er konsekvenserne?

Den 6. oktober 2015 afsagde EU-Domstolen den længe ventede dom i sag C-362/14. EU-Domstolen afgjorde, at EU-Kommissionens Safe Harbour-principper vedrørende overførsel af personoplysninger til USA er ugyldige.

Baggrunden for sagen var Edward Snowdens afsløringer omkring overførsel af EU-borgeres personoplysninger til USA. Internetvirksomheder, som f.eks. Facebook, opbevarer en stor del af deres personoplysninger på servere i USA, hvilket betyder, at NSA har adgang til EU-borgeres personoplysninger gennem dets PRISM overvågningsprogram.

Sagen begyndte, da den østrigske statsborger Maximillian Schrems klagede over Facebook til det irske datatilsyn. Da datatilsynet besluttede ikke at undersøge sagen på grund af de eksisterende Safe Harbour-principper, indbragte Schrems datatilsynets beslutning for den øverste irske retsinstans, High Court of Ireland, som bad EU-Domstolen om en præjudiciel afgørelse om, hvorvidt de nationale tilsynsmyndigheder var bundet af EU-Kommissionens afgørelse.

Det centrale spørgsmål var, om de amerikanske retsregler omkring opbevaring af personlysninger kunne betragtes som ”tilstrækkelige”, dvs. på niveau med europæiske standarder (persondatadirektiv 95/46/EF og Den Europæiske Unions charter om grundlæggende rettigheder). Artikel 57 i direktivet lyder som følger: ”… hvis et tredjeland derimod ikke sikrer et tilstrækkeligt beskyttelsesniveau, skal videregivelse af personoplysninger til det pågældende land forbydes. ”

EU-Domstolen konkluderede, at Safe Harbour-principperne er ugyldige,

  • for det første fordi de ikke indeholder et tilstrækkeligt beskyttelsesniveau, fordi det kræver ”klare og præcise regler, som regulerer rækkevidden og anvendelsen af et sådant indgreb og pålæg af minimum sikkerhedsforanstaltninger, således at de personer, hvis personoplysninger er omhandlet, har tilstrækkelig garanti for, at deres oplysninger reelt er beskyttet mod risiko for misbrug og mod ulovlig tilgang til og brug af sådanne oplysninger.”
  • for det andet fordi ”de berørte personer ikke rådede over administrative eller retlige midler, der kunne gøre det muligt for dem at få adgang til de oplysninger, der vedrørte dem, og til i givet fald at få disse berigtiget eller slettet.”

Afgørelsen konkluderede således ikke kun, at de nuværende Safe Harbour-principper er ugyldige, men også at nationale tilsynsmyndigheder ikke er forhindrede i at undersøge et krav om beskyttelse af personoplysninger – selvom EU-Kommissionens afgørelse tillader sådan videregivelse.

Hvad er den nuværende juridiske status?

Overførsel af personoplysninger, der finder sted udelukkende på baggrund af Safe Harbour-principperne, er ugyldig. EU-Kommissionen forhandler i øjeblikket grundlaget for en Safe Harbour II-ordning, men det vides hverken, hvornår en sådan vil blive offentliggjort, eller om den vil kunne leve op til kravene i den nye afgørelse.

Spørgsmålet er også, om de nationale tilsynsmyndigheder straks vil søge at håndhæve de nye regler over for virksomheder. Som sikkerhedsforanstaltning bør virksomheder straks tage skridt til at tilpasse sig reglerne.

Hvilke konsekvenser har dommen?

Afgørelsen vil hovedsageligt påvirke virksomheder, der overfører personoplysninger til servere i USA, men også virksomheder, der udbyder cloud-baserede tjenester, og onlineforhandlere. Medicinalvarevirksomheder og HR-virksomheder, der opbevarer europæiske personoplysninger på servere i USA, vil også være nødt til at gennemgå deres praksis.

Hvilke er de umiddelbart tilgængelige løsninger?

Den mest praktiske løsning for virksomheder vil være at implementere en samtykkefunktion i deres onlineaktiviteter, f.eks. i betingelserne for så vidt angår sociale internetvirksomheder eller ved udlogning for så vidt angår onlineforhandlere. Denne praksis vil dog muligvis ikke blive accepteret af nationale tilsynsmyndigheder, specielt ikke når den vedrører omfattende overførsel af personoplysninger. Det danske datatilsyn har endnu ikke udstedt nogen retningslinjer herfor.

En mere sikker løsning vil være at benytte EU-Kommissionens standardaftaler. Der findes tre udgaver, som kan hentes her.

Hvis du har spørgsmål omkring dommen, er du velkommen til at kontakte os.

Vil DU VIDE MERE?
Vil du holdes opdateret?
Skal vi løse dit problem?