DAEN

MENU

Schrems II-dommen: Status og anbefalinger

Vi ser på EU-Domstolens skelsættende dom i Schrems II-sagen to måneder efter domsafsigelsen og kommer med konkrete anbefalinger til håndtering af dommen.

Vi ser på EU-Domstolens skelsættende dom i Schrems II-sagen to måneder efter domsafsigelsen og kommer med konkrete anbefalinger til håndtering af dommen.

Vurdering af gyldighed

EU-Domstolen afsagde den 16. juli 2020 dom i den såkaldte Schrems II-sag. Dommen vedrører gyldigheden af EU-Kommissionens standardkontraktbestemmelser og EU/US Privacy Shield-ordningen, der hidtil har udgjort et såkaldt overførselsgrundlag ved overførsler af personoplysninger fra EU/EØS til modtagere uden for EU/EØS.

EU-Domstolen erklærede EU-Kommissionens beslutning om EU/US Privacy Shield-ordningen ugyldig, men standardkontraktbestemmelser for overførsel af personoplysninger til tredjelande (dvs. lande uden for EU/EØS) er fortsat gyldige efter EU-Domstolens dom.

Hvad er der sket siden dommen?

Det Europæiske Databeskyttelsesråd – der består af repræsentanter for de nationale tilsynsmyndigheder, herunder Datatilsynet – drøftede konsekvenserne af dommen på et møde den 17. juli 2020. I forlængelse af mødet udtalte rådet, at de europæiske tilsynsmyndigheder vil foretage en nærmere analyse af dommen med henblik på at give mere konkret vejledning om mulighederne for fremadrettet at overføre personoplysninger uden for EU/EØS.

Efterfølgende udarbejdede Det Europæiske Databeskyttelsesråd en foreløbig FAQ om dommen. Det forventes, at FAQ’en opdateres, når rådets analyse af dommen er afsluttet.

I FAQ’en udtaler rådet sig om en række spørgsmål vedrørende dommens betydning. Rådet gør det bl.a. klart, at Privacy Shield-ordningen er ugyldig fra domsafsigelsen, og at der ikke er en overgangsperiode til at finde et nyt overførselsgrundlag. Derudover udtaler rådet, at virksomheder, som overfører personoplysninger til USA på baggrund af såkaldte bindende virksomhedsregler, skal foretage samme vurdering som overførsler til USA baseret på standardkontaktbestemmelserne. Endelig udtaler rådet, at de supplerende foranstaltninger – der skal sikre en tilstrækkelig beskyttelse af personoplysningerne, når de overføres uden for EU/EØS – må afgøres fra sag til sag.

Det er uvist, hvornår Datatilsynet og de øvrige tilsynsmyndighederne i EU kommer med en endelig analyse af dommen, herunder dommens betydning for andre overførselsgrundlag.

Schrems II-krav i praksis: Kortlægning, vurderinger og anbefalede foranstaltninger


Dommen betyder, at myndigheder og virksomheder, der foretager overførsler på baggrund af EU/US Privacy Shield-ordningen skal finde et alternativt overførselsgrundlag.

For overførsler, som baserer sig på EU-Kommissionens standardkontraktbestemmelser, til modtagere i USA kan dommen forsøges imødekommet ved at tilføje tekniske og organisatoriske foranstaltninger, der har til hensigt at imødekomme problemerne.

Hvis det viser sig nødvendigt at ændre i selv standardkontraktbestemmelserne, er der tale om en såkaldt ad hoc-kontrakt, og kontakten skal i så fald godkendes i sin helhed af Datatilsynet for at være et gyldigt overførselsgrundlag. Sagsbehandlingstiden hertil kan være betydelig.

For overførsler til modtagere i andre tredjelande end USA er det nødvendigt at identificere hvilke eventuelle databeskyttelsesretlige udfordringer, der er i de pågældende lande. Det er en vanskelig opgave at vurdere disse udfordringer, og der er forskellige måder at gribe opgaven an på. Det afhænger af sammenhængen, hvordan vurderingen gribes mest hensigtsmæssigt an. Hvis undersøgelsen viser, at der er databeskyttelsesretlige udfordringer i landet, kan udfordringerne forsøges imødegået af foranstaltninger, der afhjælper de identificerede udfordringer.

Vi anbefaler, at I kortlægger alle jeres overførsler til tredjelande og hvilket grundlagt, I overfører på baggrund af. Vær også opmærksom på, om der overføres personoplysninger til underdatabehandlere i tredjelande.  

I kan med fordel lave generelle vurderinger af lande, som I regelmæssigt overfører personoplysninger til. På den måde ved I, hvilke udfordringer I står overfor, når der indgås nye aftaler og overføres personoplysninger til disse lande.

Det er endnu uvist, hvornår Det Europæiske Databeskyttelsesråd og Datatilsynet kommer med ny vejledning på området.

Det lokale datatilsyn i den tyske stat Baden-Württemberg har dog offentliggjort en guideline til hvordan dataansvarlige – efter deres opfattelse – skal forholde sig til tredjelandsoverførsler, der sker på grundlag af standardkontraktbestemmelserne. Det er derfor muligt som dataansvarlig at søge vejledning i disse retningslinjer. Der dog kun er gældende for den tyske stat Baden-Württemberg. Det er ikke muligt at vide om Det Europæiske Databeskyttelsesråd og Datatilsynet vil komme med retningslinjer, der svarer til de offentliggjorte retningslinjer.

TILMELD DIG VORES NYHEDSBREVE

Her kan du tilmelde dig ét eller flere af vores faglige nyhedsbreve, som har fokus på den nyeste udvikling inden for netop det område, som du er interesseret i.