Den 16. juli afsagde EU-domstolen i den såkaldte Schrems II-sag, der handler om de formelle rammer for overførsler af persondata fra EU til USA.
Dommen skal ses i sammenhæng med Schrems 1-sagen, som begyndte i 2013, da den østrigske statsborger (og advokat) Max Schrems klagede til det irske datatilsyn over Facebook Irlands overførsel af hans persondata til Facebook Inc. i USA. Overførslen var dengang baseret på den såkaldte “Safe Harbour-ordning” – en form for certificeringsordning, der betød, at amerikanske virksomheder omfattet af ordningen blev anset for at være beliggende i et ”sikkert tredjeland”.
Max Schrems mente, at Facebook (og de andre amerikanske virksomheder, der var tilmeldt Safe- Harbour-ordningen) grundlæggende ikke var i stand til at sikre en tilstrækkelig beskyttelse af europæiske borgeres privatliv og frihedsrettigheder i henhold til europæisk lovgivning på grund af USA’s lovgivning om national sikkerhed, der bl.a. giver myndighederne omfattende og generel adgang til amerikanske virksomheders forretningsdata, herunder personoplysninger om europæiske borgere, der er overført til USA.
EU-Domstolen erklærede i efteråret 2015 (Schrems 1-sagen), Safe Harbour-ordningen for ugyldig netop med henvisning til, at de amerikanske myndigheders meget vidtgående adgang til de personoplysninger, som amerikanske virksomheder behandler, ikke giver de europæiske borgere en privatlivsbeskyttelse, der svarer til den, som er krævet i henhold til europæisk lov.
På baggrund af dommen blev Safe Harbour-ordningen i 2016 erstattet af ”Privacy Shield-ordningen”, som EU-Kommissionens mente rettede op på manglerne i Safe Harbor-ordningen, bl.a. ved at sikre stærkere tilsyns- og håndhævelsesmekanismer, herunder en ombudsmands-ordning.
I forlængelse af EU-Domstolens afgørelse valgte Max Schrems at indgive en ny klage det irske datatilsyn, da Facebook forsat overfører personoplysninger om europæiske borgere til USA – nu ikke ved anvendelse af den ugyldige Safe Harbour-ordning, men gennem anvendelse af et andet overførselsgrundlag – EU-kommissionens standardkontraktbestemmelser (på engelsk anvendes termen Standard Contractual Clauses – SCC). På grund af de amerikanske myndigheders adgang til personoplysninger mente Schrems fortsat ikke, at den tilrettede version af SCC’en, som Facebook nu anvender, gav ham en beskyttelse som modsvarer beskyttelsen inden for EU-området.
Det er denne klage, som EU-Domstolen nu har afgjort.
Dommen fra den 16. juli indebærer for det første, at SCC’ere fortsat generelt er gyldige som overførselsgrundlag til lande uden for EU (inklusiv USA), jf. GDPR, art. 46. EU-domstolen slår således fast, at der principielt ikke er noget til hinder for, at en SCC kan give den registrerede, der får personoplysninger behandlet i et 3. land, et beskyttelsesniveau, som svarer til niveauet i EU. Det forudsætter dog, at SCC’en indeholder effektive mekanismer til at efterprøve og håndhæve, at dataimportøren i praksis lever op til det krævede beskyttelsesniveau. SCCen skal også indeholde mekanismer til at sikre, at databehandlingen ophører, hvis det konstateres at dataimportøren ikke, fx på grund af national sikkerhedslovgivning, kan leve op til det europæiske niveau for databeskyttelse. EU-domstolen slår også fast, at den lovlige brug af SCC’er forudsætter, at dataeksportøren, inden overførslen af personoplysninger til det pågældende 3. land begynder, skal foretage en konkret vurdering af om dataimportøren, givet karakteren af overførslen, vil være i stand til at efterleve kravene til privatlivsbeskyttelse i SCC’en inklusiv eventuelle supplerende bestemmelser. Hvis dette ikke er tilfældet kan dataeksportøren ikke lovligt indgå aftalen med dataimportøren.
For det andet afgjorde EU-domstolen, at Privacy Shield-ordningen, på grund af de amerikanske myndigheders mulighed for at opnå adgang til personoplysninger om EU-borgere, og på grund af borgernes manglende muligheder for at retsforfølge de amerikanske myndigheder, er ugyldig.
Hvad sker der nu?
Mere end 5000 amerikanske virksomheder har været certificeret under Privacy Shield-ordningen, der derfor har været anvendt ganske bredt som overførselsgrundlag. EU-domstolen har ikke fastlagt en overgangsperiode, så overførsler baseret på Privacy Shield-ordningen er dermed ugyldige fra og med den 16. juli.
Har du som virksomhed overførsler til USA baseret på Privacy Shield-ordningen skal du med andre ord hurtigst muligt finde et alternativt overførselsgrundlag.
Det er vores erfaring, at de færrest virksomheder har dokumenteret deres persondatabehandlinger tilstrækkeligt detaljeret til, at virksomheden har et sammenhængende overblik over de overførsler til 3. lande, som indgår i deres behandlingsaktiviteter, og de overførselsgrundlag, der er anvendt. Ofte foregår behandlingen af personoplysninger i komplicerede cloud-modeller, hvor forskellige behandlingsaktiviteter er outsourcet og videre-outsourcet, og hvor behandlingen derfor udføres af mange forskellige aktører på tværs af geografiske lokationer. Det kræver professionelle dokumentationsværktøjer og de nødvendige kompetencer at udarbejde tilstrækkelig ”dyb” dokumentation, der kan fastholde informationen om disse komplicerede leverancekæder på en konsistent måde. Et dækkende overblik over de overførsler til 3. lande, som din virksomhed gennemfører som led i sine forretningsaktiviteter, er en forudsætning for at kunne agere professionelt i forhold til EU-dommen.
Det Europæiske Databeskyttelsesråd (EDPB) har den 24. juli udsendt en FAQ, der indeholder foreløbige vurderinger af EU-dommen. På baggrund heraf, og når du har udarbejdet dækkende dokumentation af dine overførsler til 3. lande, kan du gå frem på følgende måde:
- Start med at identificere de overførsler, som indtil videre slet ikke har haft et gyldigt overførselsgrundlag, og de overførsler, der indtil videre har anvendt Privacy Shield-ordningen. For at lovliggøre disse overførsler skal du – overførsel for overførsel – enten vælge et lovligt overførselsgrundlag, jf. GDPR art. 45-47, eller dokumentere, at overførslen er omfattet af én af undtagelserne i GDPR art. 49
- For de overførsler til 3. lande, som enten allerede i dag baserer sig på SCC’ere (eller på BCR’ere – Binding Corporate Rules, jf. GDPR art.46 stk. 2 b)), eller for de ”nye” overførsler under pkt. 1, hvor du vurderer at du kan anvende SCCere/BCRere, skal du – overførsel for overførsel – foretage en vurdering af (reelt skal du gennemføre en risikovurdering), hvorvidt det krævede beskyttelsesniveau i praksis kan efterleves i det pågældende 3. land. Hvis du vurderer, at det ikke er tilfældet, skal du undersøge, om du kan tilføje supplerende mekanismer og foranstaltninger til SCC’en/BCR’en, der gør, at sikkerhedsniveauet reelt vil svarer til det krævede niveau i EU. Det Europæiske Databeskyttelsesråd arbejder på højtryk for at fastlægge, hvilke konkrete supplerende foranstaltninger, der kan være tale om. Det er vigtigt, at du dokumenterer dine overvejelser/ risikovurderingen, og at du fremover opdaterer dokumentationen, hver gang, der sker ændringer i leverancemodellen. Hvis du vurderer, at der ikke kan etableres det krævede beskyttelsesniveau, skal du finde en alternativ måde at udføre behandlingsaktiviteterne på
- For de overførsler til 3. lande som enten allerede i dag anvender andre overførselsgrundlag end SCC’ere og BCM’ere, jf. GDPR art. 46, eller for de ”nye” overførsler fra pkt. 1, hvor du vurderer, at et af disse øvrige overførselsgrundlag kunne være relevante, anbefales det at afvente en tilbagemelding fra EDPB om, hvilken indflydelse den nye EU-dom har for disse andre behandlingsgrundlag
EU-dommen stiller skarpt på, at man som dataansvarlig skal sikre, at man har et sammenhængende og vedligeholdt overblik over de ofte meget komplicerede ”øko-systemer”, der anvendes til behandlingen af personoplysninger. Det stiller krav til de værktøjer og metoder, man anvender til at dokumentere sine forretningsaktiviteter.
Du kan læse mere om, hvordan Pdhub kan hjælpe dig videre på din GDPR-rejse på www.pdhub.dk, eller du kan kontakte os på info@pdhub.dk.
