DAEN

MENU

Privacy Shield-ordningen er ugyldig

EU-Domstolen har den 16. juli 2020 afsagt dom i den såkaldte Schrems-II-sag, der vedrører gyldigheden af EU-Kommissionens standardkontraktbestemmelser for overførsler til tredjelande og EU/US Privacy Shield-ordningen. Afgørelsen er en opfølgning på den såkaldte Schrems-I-sag, hvori EU-Domstolen erklærede den tidligere Safe Harbour-ordning for overførsler mellem EU og USA ugyldig.

EU-Domstolen har den 16. juli 2020 afsagt dom i den såkaldte Schrems-II-sag, der vedrører gyldigheden af EU-Kommissionens standardkontraktbestemmelser for overførsler til tredjelande og EU/US Privacy Shield-ordningen. Afgørelsen er en opfølgning på den såkaldte Schrems-I-sag, hvori EU-Domstolen erklærede den tidligere Safe Harbour-ordning for overførsler mellem EU og USA ugyldig.

Sagens faktum

I 2015 indgav den østrigske statsborger Max Schrems en klage til det irske datatilsyn, da han mente, at EU-Kommissionens standardkontraktbestemmelser ikke sikrede tilstrækkelig beskyttelse af hans grundlæggende rettigheder i relation til Facebooks overførsel af hans personoplysninger til USA.

Schrems’ begrundede klagen med, at de amerikanske myndigheder har ret til at foretage masseovervågning af personoplysninger, når oplysningerne opbevares i USA, herunder af personoplysninger om EU-borgere. Schrems angav i sin klage, at det irske datatilsyn burde suspendere Facebooks overførsel af personoplysninger på baggrund af EU-Kommissionens standardkontraktbestemmelser.

Det irske datatilsyn fandt det i sagen nødvendigt – foruden at forholde sig til anmodningen om at suspendere selve overførslen af personoplysninger – også at få afklaret en række andre principielle spørgsmål. Det irske datatilsyn anmodede herefter den irske højesteret om at forelægge en række præjudicielle spørgsmål for EU-Domstolen.

Domstolen valgte ved sin afgørelse også at vurdere gyldigheden af beslutningen vedrørende EU/US Privacy Shield.

EU-Kommissionens standardkontraktbestemmelser for overførsler til tredjelande

EU-Domstolen finder i sin dom, at EU-Kommissionens beslutning om standardkontraktbestemmelser er gyldig, og bestemmelserne kan derfor fortsat anvendes som grundlag for overførsler til tredjelande.

I afgørelsen lægger Domstolen vægt på, at dataeksportøren (den dataansvarlige) og dataimportøren (den modtagende dataansvarlige eller databehandler) forudgående for overførslen skal undersøge, om beskyttelsesniveauet er tilstrækkeligt i det pågældende tredjeland. Dataimportøen er endvidere forpligtet til at underrette dataeksportøren, såfremt dataimportøren ikke er i stand til at overholde standardbestemmelserne om beskyttelse, hvorefter dataeksportøren skal suspendere dataoverførslen eller ophæve kontrakten med dataimportøen.

Tilsynsmyndighederne har endvidere pligt til   at suspendere eller forbyde en overførsel af personoplysninger til et tredjeland, såfremt tilsynsmyndighederne finder, at standardkontraktbestemmelserne ikke er overholdt eller ikke kan overholdes i det pågældende land, og at det ikke er muligt ved andre midler at sikre den beskyttelse af de overførte oplysninger, som kræves efter EU-retten, hvis dataeksportøren ikke selv har suspenderet overførslen eller ophævet kontrakten.

EU/US Privacy Shield-ordningen

EU-Domstolen finder i sin dom, at EU-Kommissionens beslutning om EU/US Privacy Shield-ordningen er ugyldig og derfor ikke kan anvendes som et gyldigt overførselsgrundlag.

Domstolen lægger i afgørelsen vægt på, at den amerikanske nationale lovgivning ikke giver EU-borgere en beskyttelse, der i det væsentligste svarer til den beskyttelse, der er foreskrevet i EU-retten. De amerikanske myndigheders mulighed for at få adgang til og bruge personoplysninger om EU-borgere er ikke begrænset til det strengt nødvendige.

Det fremhæves af EU-Domstolen, at selvom de amerikanske myndigheder ved indførelsen af overvågningsprogrammerne skal overholde en række krav, giver disse krav ikke EU-borgerne rettigheder, der kan håndhæves over for de amerikanske myndigheder ved domstolene, og EU-Domstolen finder ikke, at den ombudspersons-maksime, der er i EU/US Privacy Shield-ordningen er tilstrækkelig til at kompensere for dette.

I forhold til spørgsmålet om, hvorvidt virkningerne af beslutningen om EU/US Privacy Shield-ordningen bør opretholdes med henblik på at undgå, at der opstår et retligt tomrum, bemærker EU-Domstolen, at databeskyttelsesforordningens artikel 49 fører til, at der ikke skabes et sådant retligt tomrum. Artikel 49 fastsætter nemlig på hvilke betingelser, overførsler af personoplysninger til tredjelande må finde sted i mangel af en afgørelse om tilstrækkeligheden af beskyttelsesniveauet eller fornødne garantier.

Afgørelsen betyder i hvert fald, at myndigheder og virksomheder, der foretager overførsler på baggrund af EU/US Privacy Shield-ordningen, skal finde et alternativt overførselsgrundlag.

Datatilsynet har oplyst, at det i den kommende tid sammen med de andre europæiske tilsynsmyndigheder vil foretage en nærmere analyse af dommen og dens betydning for overførsel af personoplysninger til tredjelande og internationale organisationer, herunder dommens betydning for de øvrige overførselsgrundlag.

Hold dig opdateret: Få juridisk viden og indsigter fra vores eksperter direkte i din indbakke

Når du tilmelder dig vores nyhedsbreve, bliver du opdateret på seneste nyt fra de retsområder, som du ønsker at følge. Du får også adgang til kommende kurser, webinarer og arrangementer – alt sammen designet til at holde dig informeret og ajour. Uanset om du er på udkig efter rådgivning, viden eller netværksmuligheder, er vores nyhedsbreve din nøgle til det hele.