Schrems II afgørelsen - en ny virkelighed for tredjelandsoverførsler

EU-domstolen har torsdag den 16. juli 2020 afsagt dom i Schrems II sagen om overførsel af persondata fra EU til USA.

EU-Domstolen finder, at Privacy Shield-ordningen er ugyldig. Den ophører derfor straks som grundlag for overførsler fra EU til USA.

Endvidere finder EU-Domstolen, at EU-Kommissionens standardkontraktbestemmelser ("SCCs") fortsat generelt kan benyttes som overførselsgrundlag ved overførsler fra EU-lande til tredjelande. Dataeksportøren skal imidlertid - for hver enkelt overførsel - sikre, at der opnås en beskyttelse, som er "essentially equivalent" med beskyttelsesniveauet i EU. Bl.a. må national lovgivning i importlandet ikke pålægge dataimportøren forpligtelser f.eks. om udlevering af oplysninger til myndighederne i importlandet, som går videre end hvad der efter en europæisk standard anses for et sagligt, nødvendigt og proportionalt indgreb i rettighederne mv., lige som der i importlandet skal være 'effektive retsmidler' for personer, hvis personoplysninger behandles af myndighederne.

Sagens baggrund

Sagen startede i 2013, da Max Schrems - i forlængelse af Edward Snowdens afsløringer af amerikansk masseovervågning - klagede til det irske datatilsyn over Facebook Irlands overførsel af hans persondata til Facebook Inc. i USA. Overførslen var baseret på den daværende "Safe Harbor-ordning", der betød, at amerikanske virksomheder omfattet af ordningen blev anset for at være beliggende i et 'sikkert tredjeland'.

Baggrunden for klagen var, at Schrems mente, at USA's lovgivning om national sikkerhed mv. gjorde, at de amerikanske virksomheder, der var tilsluttet Safe Harbor-ordningen, ikke kunne sikre et tilstrækkeligt beskyttelsesniveau for persondata som krævet af europæisk databeskyttelseslovgivning.

De irske domstole forelagde sagen for EU-Domstolen, som i oktober 2015 erklærede Safe Harbor-ordningen ugyldig. I dommen fastlagde EU-Domstolen samtidig, at niveauet for beskyttelse af personoplysninger i et 'sikkert tredjeland' i det væsentlige skal svare til niveauet for beskyttelse af personoplysninger i EU - man anvendte formuleringen "essentially equivalent". 

I 2016 blev Safe Harbor-ordningen erstattet af den tilsvarende Privacy Shield-ordning, som efter EU-Kommissionens opfattelse rettede op på manglerne i Safe Harbor ordningen, bl.a. i kraft af stærkere tilsyns- og håndhævelsesmekanismer, herunder en uafhængig Privacy Shield-Ombudsmand.

I forlængelse af EU-Domstolens afgørelse valgte Max Schrems at omformulere den oprindelige klage til det irske datatilsyn, da Facebook - nu på baggrund af tilrettede SCCs - fortsat overførte personoplysninger til USA. Schrems mente ikke, at de tilrettede SCCs gav ham en beskyttelse som inden for EU-området, særligt på grund af den nævnte lempelige amerikanske lovgivning om myndighedernes adgang til indsamling af persondata.

Det irske datatilsyn vurderede ved behandlingen af den nye klage, at der var et større og mere systematisk problem med SCCs, hvorfor DPC valgte at indbringe sagen for den irske landsret, så sagen kunne forelægges præjudicielt for EU-Domstolen. 

Væsentlige konklusioner 

1) Privacy Shield-ordningen er ugyldig og kan ikke længere anvendes som overførselsgrundlag. 

EU-Domstolen fastslår, at Privacy Shield-ordningen ikke er forenelighed med GDPR, art. 45, sammenholdt med EU's Charter om Fundamentale Rettigheder (Charteret) art. 7, 8 og 47 omhandlende privatliv, databeskyttelse og adgangen til effektive retsmidler. Dermed underkendes  EU-Kommissionens vurdering om, at USA sikrer en tilstrækkelig beskyttelse af de personoplysninger, der overføres fra EU-området til certificerede amerikanske virksomheder under Privacy Shield-ordningen

Underkendelsen skyldes USA's lovgivning om national sikkerhed mv., som ifølge EU-Domstolen ikke overholder proportionalitetskravet, som det fremgår af Charterets art. 52. EU-Domstolen fastslår, at indgreb i de fundamentale rettigheder kun kan ske i medfør af en klar og præcis lovhjemmel, og at enhver begrænsning eller indgreb i de fundamentale rettigheder kun kan retfærdiggøres i det omfang, det er strengt nødvendigt. Endvidere mangler der effektive retsmidler for de berørte personer.

2) SCCs er fortsat generelt gyldige som overførselsgrundlag til lande uden for EU/EØS, jf. GDPR, art. 46.

EU-Domstolen finder, at SCCs skal give et beskyttelsesniveau, som er "essentially equivalent" med niveauet i EU. Dermed bekræftes det, at denne målestok ikke kun gælder ved vurderingen af sikre tredjelande efter GDPR, art. 45, men også ved de andre instrumenter i GDPR, art. 46, herunder SCCs (og Binding Corporate Rules). 

EU-domstolen finder videre, at der ikke er noget til hinder for, at SCCs kan give det krævede beskyttelsesniveau. Dette kræver imidlertid en konkret, samlet vurdering af alle omstændighederne ved overførslen, ikke mindst - men ikke begrænset til - hvorvidt myndighederne i importlandet har mulighed for at tilgå de overførte persondata eller kræve disse persondata udleveret. Denne fokus på myndighederne i importlandet skyldes, at SCCs ikke binder myndighederne i importlandet.

Det er derfor et krav, at dataeksportøren - forud for påbegyndelsen af hver eneste overførsel - foretager en konkret vurdering af, om de overførte persondata er omfattet af myndighedsadgang, og i bekræftende fald, om denne myndighedsadgang 

  1. Er fastsat ved lov
  2. Er begrænset til det, som er nødvendigt og proportionalt f.eks. af hensyn til national sikkerhed og retshåndhævelse
  3. Er undergivet kontrol, således at berørte personer har effektive retsmidler i forhold til myndighedsadgangen

Kravet gælder for såvel igangværende som fremtidige overførsler af persondata på grundlag af SCCs (og Binding Corporate Rules). 

EU-domstolens afgørelse bekræfter endelig, at de nationale datatilsyn har ret og pligt til at gribe ind med påbud/forbud, hvis en dataeksportør på grundlag af SCCs foretager en overførsel, som ikke giver et beskyttelsesniveau, som er "essentially equivalent".

Afgørelsen har øjeblikkelig virkning, både i forhold til ugyldigheden af Privacy Shield og i forhold til kravet om opnåelse af et "essentially equivalent" beskyttelsesniveau ved overførsel på grundlag af SCCs.

Plesners vurdering

EU-domstolens afgørelse følger i vidt omfang forslaget til afgørelse fra Generaladvokat Henrik Øe. EU-domstolen har i sine tidligere afgørelsen givet en meget stærk beskyttelse af grundrettighederne om retten til privatliv (art. 7) og beskyttelse af persondata (art. 8). Afgørelsen i Schrems II ligger i naturlig forlængelse af de tidligere afgørelser, og kommer da heller ikke som en overraskelse.

Afgørelsen bekræfter den danske fortolkning af reglerne. Justitsministeriets betænkning 1565 del 1, bind 1 og bind 2, om GDPR har på side 635 ff. en beskrivelse af de krav, som EU-domstolen har beskrevet med afgørelsen i Schrems II. Kravene fremgik også af Datatilsynets første version af vejledningen om tredjelandsoverførsler under GDPR, men blev dog af andre grunde taget ud i af anden version.

Afgørelsen kan forekomme meget "uforstående" over for den måde, hvorpå persondata flytter sig rundt i verden, ikke mindst ved cloud baserede it-leverancer. Man skal dog nok nærmere se afgørelsen som endnu et eksempel på, at forretningsmodeller nogen gange udvikler sig hurtigere end tilsynsmyndigheder og domstole når at få forelagt de spørgsmål, som forretningsmodellerne giver anledning til. Når reglerne så "indhenter" virkeligheden, så vil det ske, at forretningsmodellerne skal rulles lidt baglæns. 

Hvad gør jeg som dataeksportør?

Afgørelsen har store praktiske konsekvenser, men der er dog indledningsvist brug for at de europæiske datatilsyn giver sin fortolkning af afgørelsen. Mens vi afventer en udmelding fra tilsynsmyndighederne, så bør man dog allerede nu

  1. Fastlægge alle tredjelandsoverførsler, som organisationen foretager. Vær i den forbindelse opmærksom på cloud tjenester, som ofte anvender datacentre i EU og servicecentre uden for EU. Husk, at "kigge-adgang" fra et tredjeland til data i datacentre i EU også udgør en tredjelandsoverførsel. Man skal huske at afdække alle led i leverance-kæden
  2. Fastlægge overførselsgrundlaget for tredjelandsoverførslerne - altså Privacy Shield, SCC, Binding Corporate Rules eller de særlige grundlag i art. 49
  3. Læse et eksempel på de SCCs, som man anvender, jf. pkt. 2

Særligt for USA må man forvente, at der meget hurtigt vil komme en mere generel udmelding om, hvorvidt SCCs kan anvendes som grundlag for fremtidige overførsler, herunder til den (påtvungne) erstatning af Privacy Shield ordningen, herunder i forhold til konkrete sektorer.

For andre lande vil en løsning i hvert fald ved cloud tjenester nok være, at udbyderen af cloud tjenesten ændrer sin leverancemodel, sådan at færre tredjelande indgår. Endelig vil der nok være lande, som der fremover som udgangspunkt ikke kan overføres persondata til. 

Husk generelt, at tredjelandsoverførsler også er undergivet princippet om accountability i GDPR, art. 5.2. Du har som dataeksportør en (proaktiv) "bevisbyrde" for, at overførslen sker med et tilstrækkeligt beskyttelsesniveau, og dette skal være dokumenteret forud for overførslen. Der skal foretages en fornyet vurdering, hver gang der sker ændringer i leverancestrukturer mv., f.eks. ved brug af en ny databehandler i en cloud-struktur. 

Opfølgning


Plesner Persondata Team vil løbende følge op på tilsynsmyndighedernes udmeldinger, lige som vi vil afholde webinarer i regi af Plesner LegalHub

Vi kan også bistå med at indhente vurderinger fra lokale advokater af reglerne for myndighedsadgang, f.eks. hvis man har et datterselskab i det pågældende land.

Seneste nyt om Persondata

Persondata