Privacy Shield-ordningen erklæret for ugyldig

Kort om sagen

Schrems II-sagen udspringer af den første Schrems-sag fra 2013, hvor den østrigske datarettighedsforkæmper Max Schrems indgav en klage til det irske datatilsyn over Facebooks overførsel af hans personoplysninger fra EU til USA på grundlag af den daværende Safe Harbour-ordning. Sagen endte hos EU-Domstolen, der i oktober 2015 erklærede Safe Harbour-ordningen for et ugyldigt grundlag for overførsel af personoplysninger fra EU til USA. Max Schrems fik dermed medhold i, at Safe Harbour-ordningen ikke kunne sikre et tilstrækkeligt beskyttelsesniveau, som er påkrævet i henhold til europæisk databeskyttelseslovgivning.

I 2016 blev Safe Harbor-ordningen erstattet af den tilsvarende Privacy Shield-ordning, som efter EU-Kommissionens opfattelse rettede op på manglerne i Safe Harbor ordningen. Max Schrems valgte dog at omformulere den oprindelige klage til det irske datatilsyn, da Facebook - nu på baggrund af tilrettede SCCs (EU-Kommissionens standardkontraktbestemmelser) - fortsat overførte personoplysninger til USA, og Schrems mente ikke, at de tilrettede SCCs gav ham en beskyttelse som inden for EU-området, særligt på grund af lempelig amerikanske lovgivning om myndighedernes adgang til indsamling af personoplysninger.

Det irske datatilsyn vurderede ved behandlingen af den nye klage, at der var et større og mere systematisk problem med SCCs, og på den baggrund valgte det irske datatilsyn at indbringe sagen for den irske landsret, så sagen kunne forelægges præjudicielt for EU-Domstolen.

Dommens væsentligste konklusioner

Privacy Shield-ordningen er ugyldig og kan ikke længere anvendes som overførselsgrundlag.

EU-Domstolen fastslår, at Privacy Shield-ordningen ikke er forenelighed med GDPR, art. 45, sammenholdt med EU's Charter om Fundamentale Rettigheder (Charteret) art. 7, 8 og 47, der vedrører retten til privatliv, databeskyttelse og adgangen til effektive retsmidler. EU-Domstolen underkender dermed EU-Kommissionens vurdering af, at USA sikrer en tilstrækkelig beskyttelse af de personoplysninger, der overføres fra EU-området til certificerede amerikanske virksomheder under Privacy Shield-ordningen.

Baggrunden for EU-Domstolens underkendelse af Privacy Shield-ordningen skyldes især USA's lovgivning om national sikkerhed med videre, som ifølge EU-Domstolen ikke overholder proportionalitetskravet, som det fremgår af Charterets art. 52. EU-Domstolen fastslår, at indgreb i de fundamentale rettigheder kun kan ske i medfør af en klar og præcis lovhjemmel, og at enhver begrænsning eller indgreb i de fundamentale rettigheder kun kan retfærdiggøres i det omfang, det er strengt nødvendigt.

SCCs er fortsat generelt gyldige som overførselsgrundlag til lande uden for EU/EØS, jf. GDPR, art. 46.

EU-Domstolen fastslår, at SCCs skal give et beskyttelsesniveau, som er "essentially equivalent" med niveauet i EU. Dermed bekræftes det, at denne målestok ikke kun gælder ved vurderingen af sikre tredjelande efter GDPR, art. 45, men også ved de andre overførselsmuligheder i GDPR, art. 46, herunder SCCs (og Binding Corporate Rules).

EU-Domstolen finder ikke, at der er noget til hinder for, at SCCs kan give det krævede beskyttelsesniveau, men det kræver imidlertid en konkret, samlet vurdering af alle omstændighederne ved overførslen, herunder særligt hvorvidt myndighederne i importlandet har mulighed for at tilgå de overførte personoplysninger eller kræve disse personoplysninger udleveret. Denne fokus på myndighederne i importlandet skyldes, at SCCs ikke binder myndighederne i importlandet.

Det er derfor et krav, at dataeksportøren – forud for påbegyndelsen af hver eneste overførsel – foretager en konkret vurdering af, om de overførte personoplysninger er omfattet af myndighedsadgang.

Konsekvenser

Afgørelsen har store praktiske konsekvenser, men der er dog indledningsvist brug for at de europæiske datatilsyn giver sin fortolkning af afgørelsen.

Datatilsynet har meldt ud, at det i det Europæiske Databeskyttelsesråd i den kommende tid sammen med de andre europæiske tilsynsmyndigheder vil foretage en nærmere analyse af dommen og dens betydning for overførsel af personoplysninger til tredjelande og internationale organisationer, herunder dommens betydning for de øvrige overførselsgrundlag.

På nuværende tidspunkt afventer vi således de europæiske tilsynsmyndigheders udmelding, men man kan allerede nu undersøge:

• Sker der tredjelandsoverførsler i ens virksomhed? Det er særligt vigtigt at være opmærksom på, at cloududbydere ofte anvender datacentre i EU og servicecentre uden for EU (medmindre man har en aftale om en såkaldt ”begrænset sky”, hvor der kun sker overførsel inden for EU). Supportadgang for personer i et tredjeland til data i datacentre i EU også udgør en tredjelandsoverførsel.
• Hvis der sker tredjelandsoverførsler; fastlægge overførselsgrundlaget for tredjelandsoverførslerne – dvs. er der tale om Privacy Shield, SCCs, Binding Corporate Rules eller de særlige overførselsgrundlag i art. 49?

NJORD vil følge udviklingen tæt og opdatere dig, når der er nyt fra det Europæiske Databeskyttelsesråd.