Slut med Privacy Shield og nye krav til EU-Kommissionens standardkontrakter

EU-Domstolen har i en dom afgjort, at Privacy Shield ikke kan bruges som overførselsgrundlag af data til USA, men EU’s standardkontrakter har klaret frisag

Mange af de tech-leverandører, som europæiske virksomheder benytter sig af, er baseret i USA og underlagt amerikansk lovgivning og amerikanske myndigheder. Mange af de pågældende tech-leverandører er databehandlere i databeskyttelsesforordningens forstand, da de får overført persondata i forbindelse med levering af deres ydelser. Hermed sker der en overførsel af persondata fra EU til USA. Det er kun lovligt, hvis man kan etablere et såkaldt overførselsgrundlag. To af de mest anvendte overførselsgrundlag er Privacy Shield og EU-Kommissionens standardkontrakt.

Beskyttelsesniveauet for de registrerede personer er ikke så højt i USA, som det er i EU, og det skyldes særligt, at de amerikanske myndigheder har meget vidtrækkende muligheder for at få indsigt i persondata, som amerikanske virksomheder behandler, uanset om der er tale om persondata om amerikanske statsborgere eller om EU-borgere. Dermed er der risiko for, at EU-borgeres personoplysninger, der overføres til USA, behandles i situationer, som ikke er acceptabelt for EU-borgere.

En EU-borger, Max Schrems, havde klaget til det irske datatilsyn over at Facebook i Irland overførte hans personoplysninger til moderselskabet Facebook i USA. Max Schrems mente ikke, at den aftale, der var lavet mellem EU og USA om det såkaldte Privacy Shield, ydede ham tilstrækkelig  beskyttelse af hans personoplysninger. Han mente heller ikke, at EU-Kommissionens standardkontrakt var tilstrækkeligt overførselsgrundlag.

Det irske datatilsyn indbragte sagen for de irske domstole, som valgte at stille EU-Domstolen en række spørgsmål om fortolkningen af EU-reglerne.

EU-Domstolen nåede frem til at ”Privacy Shield-afgørelsen” er ugyldig. Derfor kan der ikke længere ske overførsel af personoplysninger til USA ved brug af Privacy-Shield.

Men EU-Domstolen fastslog også, at EU-Kommissionens standardkontrakter fortsat er gyldige. Der bliver dog rejst en række spørgsmål til standardkontrakterne, som i hovedsagen går ud på, at indholdet af standardkontrakterne skal følges og håndhæves. Hvis dette ikke er muligt på grund af reglerne i databehandlerens hjemland (som i den konkrete sag var USA), skal overførslen af persondata ophøre.

Det bliver derfor afgørende for alle virksomheder i EU, der overfører persondata til USA på grundlag af Privacy Shield, at finde et nyt overførselsgrundlag. Det oplagte valg er EU-Kommissionens standardkontrakter. Men vælger man dette, kræves det i endnu højere grad end tidligere, at man sikrer sig, at modtagerne af personoplysninger i USA, databehandleren, reelt har mulighed for at overholde standardkontrakterne. Dette spørgsmål er endnu ikke afklaret.

Det danske datatilsyn har oplyst, at det i det Europæiske Databeskyttelsesråd i den kommende tid sammen med de andre europæiske tilsynsmyndigheder vil foretage en nærmere analyse af dommen og dens betydning for overførsel af personoplysninger til tredjelande og internationale organisationer, herunder dommens betydning for de øvrige overførselsgrundlag.

Uanset hvilken udmelding der kommer fra myndighederne, bør man som virksomhed allerede nu afklare, om man overfører personoplysninger til tredjeland og i givet fald hvilke overførselsgrundlag, man benytter i forbindelse med brug af cloud-løsninger, samt ved brug af personoplysninger i sin markedsføring.

Synch har etableret en arbejdsgruppe, der analyserer virkningen af Schrems II-afgørelsen. Du kan altid kontakte nedenstående for konkret rådgivning om, hvad ændringen i overførselsgrundlaget til tredjelande betyder for din virksomhed.

For mere information kontakt venligst:
Heidi Højmark Helveg – heidi.hojmark.helveg@synchlaw.dk (+45 30 74 2900)
Niels Dahl-Nielsen – niels.dahl-nielsen@synchlaw.dk (+45 4030 9749)

Nyheder og indsigt
Pressemeddelelse

Synch København og Integra fusionerer

23/01/2020

Synch og Integra Advokater i København fusionerer med virkning fra 1. januar. Med fusionen udbygger det fusionerede selskab sin position som specialiseret tech-advokatfirma med lokal forankring i Norden.

Nyheder

Slut med Privacy Shield og nye krav til EU-Kommissionens standardkontrakter

17/07/2020

EU-Domstolen har i en dom afgjort, at Privacy Shield ikke kan bruges som overførselsgrundlag af data til USA, men EU’s standardkontrakter har klaret frisag

Nyheder

Nye matchinglån fra Vækstfonden

07/05/2020

Vækstfonden tilbyder ny en række nye favorable matchinglån, som giver virksomheder mulighed for at låne op til 3 gange et investeret beløb. Læs i denne nyhed om vilkårene for lånene

Pressemeddelelse

Synch spins-off legal tech business through the creation of Maigon

05/05/2020

Synch has decided to spin-off parts of its legal tech development, which to date has been conducted within SynchLab. A separate new entity has been formed and has taken over and will offer the following solutions; Maigon DPA, Maigon PPC and Maigon Automation. Synch has several times been noted for and also been nominated by […]

Nyheder

Synch er en del af Öresundseksperterna

24/04/2020

Synch, som et af de få advokatfirmaer, har en tilstedeværelse på begge sider af Øresund; i Skåne og i København. Vi sætter en ære i at yde smidig rådgivning på tværs af Øresund og er derfor stolte af at være udvalgt til at ingå i Øresundseksperterne der er en del af Øresunddirekt. Synchs eksperter er […]

Blogindlæg Insights

Gode juridiske råd i forbindelse med COVID-19

12/03/2020

I dette blog-indlæg fortæller Synchs danske advokater om de juridiske udfordringer, som COVID-19 har afstedkommet for danske virksomheder.