Tredjelandsoverførsler - Generaladvokaten har afgivet sit forslag til afgørelse i Schrems II-sag
Generaladvokaten afgav den 19. december 2019 sit længe ventede forslag til afgørelse i den såkaldte Schrems II-sag (C-311/18) om brug af Kommissionens standardkontraktbestemmelser (SCCs) til overførsler til lande uden for EU/EØS.
Forslaget til afgørelse er meget vigtigt for både virksomheder og myndigheder, da det er meget få, som ikke bruger SCCs, for eksempel ved brug af cloud tjenester, som indebærer brug af databehandlere og underdatabehandlere i tredjelande.
Generaladvokatens forslag til afgørelse er ikke bindende for EU-Domstolen, men følges generelt meget ofte, og giver derfor en vigtig pejling for retningen på dommen, der ventes inden for cirka tre måneder. I det følgende vil vi behandle forslaget til afgørelse som om det følges af EU-Domstolen - vel vidende, at dette måske ikke sker.
Plesners Persondatateam redegør kort for baggrunden samt for de væsentligste konklusioner, som følger - eller kan udledes - af Generaladvokatens forslag til afgørelse i Schrems II-sagen.
Sagens baggrund
Sagen startede oprindeligt i 2013, da Max Schrems - i forlængelse af Edward Snowdens afsløringer af amerikansk masseovervågning - klagede til den irske Data Protection Commissioner ("DPC") over Facebook Irlands overførsel af hans persondata til Facebook Inc. i USA baseret på den daværende "Safe Habor-ordning".
Baggrunden for klagen var, at Schrems mente, at USA's lovgivning om national sikkerhed mv. - og de amerikanske efterretningstjenesters indsamling af persondata om europæiske borgere - gjorde, at de amerikanske virksomheder, der var tilsluttet Safe Harbor-ordningen, ikke kunne sikre et tilstrækkeligt beskyttelsesniveau som krævet af europæisk databeskyttelseslovgivning.
Efter at sagen af de irske domstole var blevet forelagt for EU-Domstolen med henblik på en præjudiciel afgørelse traf EU-Domstolen den 6. oktober 2015 afgørelse i sagen. EU-Domstolen erklærede i den forbindelse Safe Harbor-ordningen ugyldig, og fastslog bl.a. samtidig, at niveauet for beskyttelse af personoplysninger i et tredjeland i det væsentlige skal svare til niveauet for beskyttelse af personoplysninger i EU for, at der er tale om et sikkert tredjeland - man anvendte formuleringen "essentially equivalent".
I forlængelse af EU-Domstolens afgørelse valgte Schrems at omformulere den oprindelige klage til DPC, da Facebook - nu på baggrund af tilrettede standardkontraktbestemmelser ("SCCs") - fortsat overførte personoplysninger til USA. Schrems mente ikke, at de tilrettede SCCs gav ham en beskyttelse som inden for EU-området, særligt på grund af den nævnte lempelige amerikanske lovgivning om myndighedernes adgang til indsamling af persondata.
DPC vurderede ved behandlingen af Schrems omformulerede klage, at der var et større og mere systematisk problem med SCCs, hvorfor DPC valgte at indbringe sagen for den irske landsret ('High Court'), så sagen kunne forelægges præjudicielt for EU-Domstolen. High Court valgte at forelægge 11 præjudicielle spørgsmål for EU-Domstolen.
Væsentlige konklusioner
De væsentligste konklusioner i det meget lange forslag til afgørelse er følgende:
1) SCCs er fortsat gyldige som overførselsgrundlag til lande uden for EU/EØS, jf. GDPR art. 46.
Generaladvokaten vurderer, at det generelt er muligt at opnå et beskyttelsesniveau, der i det væsentlige svarer til niveauet for beskyttelse af personoplysninger i EU, ved hjælp af SCCs.
Bemærk i den forbindelse, som noget meget vigtigt, at det er Generaladvokatens opfattelse, at beskyttelsesniveauet i tredjelandet i det væsentlige skal svare til niveauet for beskyttelse af personoplysninger inden for EU. Generaladvokaten finder således, at for beskyttelsesniveauet i tredjelandet skal være "essentially equivalent", uanset om artikel 45 (om sikre tredjelande godkendt af Kommissionen) eller artikel 46 (om tilstrækkelige garantier ved overførsel til usikre tredjelande) benyttes som overførselsgrundlag.
2) Du skal som dataeksportør forud for enhver overførsel (og undervejs) undersøge om national lovgivning i importlandet pålægger dataimportøren forpligtelser, som udgør en hindring for efterlevelse af SCCs, og om forpligtelserne går videre end hvad der efter en europæisk standard anses for et sagligt, nødvendigt og proportionalt indgreb i rettighederne mv. - se tilsvarende indholdet af GDPR art. 23.
Dette skal ske ved (præmis 135):
"a consideration of all of the circumstances characterising each transfer, which may include the nature of the data and whether they are sensitive, the mechanisms employed by the exporter and/or the importer to ensure its security, the nature and the purpose of the processing by the public authorities of the third country which the data will undergo, the details of such processing and the limitations and safeguards ensured by that third country. The factors characterising the processing activities carried out by the public authorities and the safeguards applicable in the legal order of that third country may, in my view, overlap with those set out in Article 45(2) of the GDPR."
Hvis den nationale lovgivning går videre, end hvad der ville være tilladt for tilsvarende lovgivning i et EU-land - eller et tredjeland, som er godkendt som sikkert - så skal overførslen undlades eller bringes til ophør af dataeksportøren selv.
Ovennævnte betyder i praksis, at du som dataeksportør skal foretage en vurdering af beskyttelsesniveauet i alle de tredjelande, som du ønsker at overføre personoplysninger til. Denne vurdering skal minde om den vurdering, som Kommissionen skal foretage efter GDPR art. 45.2, når Kommissionen træffer afgørelse om, at et givent tredjeland er sikkert. Du skal endvidere foretage en fornyet vurdering, hver gang der sker ændringer i leverancestrukturer mv., f.eks. ved brug af en ny databehandler i en cloud-struktur.
Da du som dataeksportør - i tråd med princippet om accountability i GDPR art. 5.2 - har "bevisbyrden" for, at dataimportøren ikke er pålagt usaglige eller disproportionale forpligtelser mv., der hindrer, at SCCs kan efterleves, vil du ikke blot ukritisk kunne lægge en vurdering fra dataimportøren eller en anden tredjepart til grund. Du er efter vores opfattelse nødt til selv at foretage en (risiko-)vurdering, og skal som altid kunne dokumentere, at vurderingen er foretaget og hvordan den er foretaget, jf. GDPR art. 5.2 og 24.
Ovenstående retter sig i øvrigt højst sandsynligt mod alle de garantier, som er omfattet af art. 46, herunder ikke mindst BCR. Nogle databeskyttelsesadvokater m.fl. har gjort sig til talspersoner for, at brugen af BCR ikke vil være påvirket af Schrems II sagen. Dette er imidlertid næppe korrekt, alt tyder på, at sagen - og kravene beskrevet i forslaget til afgørelse - vil få direkte virkning for brugen af BCR.
3) Hvis du som dataeksportør ikke lever op til punkt 2, kan og skal tilsynsmyndigheden (i Danmark, Datatilsynet) inden for rammerne af sine pligter og beføjelser gribe ind med henblik på at beskytte de registrerede.
Datatilsynet har således pligt til - f.eks. som følge af en klage fra en registreret - at påse, om en dataeksportør har foretaget en tilstrækkelig vurdering af importlandets lovgivning og praksisser med henblik på at sikre, at dataimportøren ikke er pålagt usaglige og disproportionale forpligtelser mv., der hindrer, at importøren kan efterleve SCCs.
Det er vigtigt at være opmærksom på, at du - som nævnt ovenfor - som dataeksportør har "bevisbyrden" for, at dataimportøren ikke er pålagt usaglige og disproportionale forpligtelser mv. forpligtelser, der hindrer, at SCCs kan efterleves. Du skal derfor ikke som dataeksportør forvente, at Datatilsynet vil bidrage til afklaringen af, om dataimportøren er underlagt sådanne forpligtelser. Dette må du forventes selv at have gjort på forhånd.
4) Forslaget til afgørelse bekræfter indholdsmæssigt indholdet af WP 237 om de 4 Essentielle Europæiske Garantier.
Tilsvarende bekræfter forslaget til afgørelse indholdsmæssigt første udgave af Datatilsynets vejledning om tredjelandsoverførsler og omtalen af de 4 Essentielle Europæiske Garantier i Justitsministeriets betænkning 1565/2017 om GDPR.
Du kan læse mere om de 4 Essentielle Europæiske Garantier her
Anden udgave af Datatilsynets vejledning om tredjelandsoverførsler skal læses og anvendes i lyset af de 4 Essentielle Europæiske Garantier - hvilket i øvrigt også hele tiden har været Datatilsynets holdning. Denne holdning er blot bekræftet med forslaget til afgørelse.
5) EU-U.S. Privacy Shield lever, for nu.
Det er Generaladvokatens opfattelse, at det ikke er nødvendigt, at EU-Domstolen ser på gyldigheden af Privacy Shield-ordningen i den foreliggende sag. Han fraråder derfor domstolen at gøre det.
Samtidig kommer Generaladvokaten dog med en række ikke-udtømmende bemærkninger - over 40 sider - om Privacy Shield for det tilfælde, at EU-Domstolen alligevel måtte vælge at se på gyldigheden af ordningen.
Generaladvokaten udtaler i den sammenhæng, at han har "en vis tvivl" om Privacy Shield-ordningens overensstemmelse med artikel 7, 8 og 47 i Den Europæiske Unions charter om grundlæggende rettigheder samt artikel 8 i Den Europæiske Menneskerettighedskonvention.
Hvis EU-Domstolen vælger ikke at forholde sig til Privacy Shield-ordningen, venter dér efter Schrems II-sagen en specifik sag (T-738/16) om annullering af ordningen.
Hvad sker der nu - og hvor kan du få mere at vide?
Dommerne ved EU-Domstolen vil nu foretage deres vurdering af sagen.
En endelig afgørelse fra EU-Domstolen forventes inden for cirka 3 måneder efter Generaladvokatens forslag til afgørelse.
Ovenstående er en sammenfatning af Plesners webinar den 20. december 2019 om forslaget til afgørelse. Webinaret varer 75 minutter og indeholder en dybdegående gennemgang af Generaladvokatens forslag til afgørelse og er tilgængeligt på Plesners vidensplatform, LegalHub.
Læs mere om LegalHub her og kontakt os gerne, hvis du ønsker flere oplysninger eller en prøve-adgang.
