Schrems II

Her på siden kan du læse om Schrems II-afgørelsen, hvor EU-Domstolen bl.a. tog stilling til gyldigheden af tilstrækkelighedsafgørelsen for EU-U.S. Privacy Shield og til brugen af EU-Kommissionens standardbestemmelser som overførselsgrundlag.

EU-Domstolen afsagde den 16. juli 2020 dom i Schrems II-sagen om overførsel af personoplysninger fra EU til USA.

Schrems II kort fortalt

EU-Domstolen afsagde den 16. juli 2020 dom i Schrems II-sagen (C-311/18) om overførsel af personoplysninger fra EU til USA. I sagen udtalte EU-Domstolen sig både om tilstrækkelighedsafgørelsen for EU-U.S. Privacy Shield og om EU-Kommissionens standardbestemmelser som grundlag for overførsel af personoplysninger til usikre tredjelande.

Sagen ved EU-Domstolen udsprang af en retssag anlagt af det irske datatilsyn på baggrund af en klage fra den østrigske privatlivsaktivist Maximillian Schrems over Facebooks overførsler af hans personoplysninger fra Facebook Ireland til moderselskabet Facebook Inc. i USA.

EU-Domstolen erklærede Privacy Shield-afgørelsen ugyldig, fordi amerikansk lovgivning ikke satte tilstrækkeligt klare rammer for de amerikanske myndigheders adgang til personoplysninger, som blev overført til USA, og fordi EU-registrerede ikke havde mulighed for at klage til en uafhængig klageinstans over myndighedernes overvågning af dem.

EU-Domstolen fastslog endvidere, at EU-Kommissionens standardbestemmelser fortsat kunne anvendes ved overførsler til usikre tredjelande, men at dataeksportøren var forpligtet til at sikre sig, at beskyttelsesniveauet for de overførte oplysninger i det væsentligste svarede til niveauet indenfor EU. Ved vurderingen ville det eksempelvis være relevant at kigge på lovgivning og praksis i tredjelandet, herunder myndighedernes (f.eks. efterretningstjenesternes) muligheder for at få adgang til personoplysninger, kontrollen hermed og de registreredes klagemuligheder. Om nødvendigt skulle dataeksportøren sørge for supplerende foranstaltninger for at tilvejebringe et tilstrækkeligt beskyttelsesniveau for de overførte oplysninger.

Du kan læse dommen på dansk her.

FAQ

Spørgsmål til dommen

  • Datatilsynet har offentliggjort en Q&A om Schrems II-dommen og dens konsekvenser, som du kan finde her.
  • Det Europæiske Databeskyttelsesråd (EDPB) har lavet en FAQ, som du kan finde her.
Det Europæiske Databeskyttelsesråd

Anbefalinger på baggrund af dommen

Det Europæiske Databeskyttelsesråd (EDPB) har på baggrund af Schrems II-dommen udarbejdet anbefalinger om supplerende foranstaltninger ved overførsel til tredjelande.

Du kan læse anbefalingerne om supplerende foranstaltninger her.

EDPB har i forlængelse af dommen også vedtaget anbefalinger om de europæiske væsentlige garantier for overvågningsforanstaltninger. Anbefalingerne kan være til hjælp, når dataansvarlige skal foretage den vurdering af lovgivningen i et tredjeland, som der henvises til i anbefalingerne om supplerende foranstaltninger.

Du kan læse anbefalingerne om de europæiske væsentlige garantier for overvågningsforanstaltninger her.

 

Ord- og begrebsforklaring

Begrebet overførsel bruges om den situation, hvor en dataansvarlig eller databehandler i EU videregiver eller på anden måde stiller personoplysninger til rådighed for en anden dataansvarlig, fælles dataansvarlig eller databehandler, som befinder sig i et tredjeland eller er en international organisation.

Du kan læse om kriterierne for hvornår, der er tale om en overførsel, her

Et tredjeland er et land, som ikke er medlem af EU eller EØS (Island, Liechtenstein og Norge). Der sondres indenfor databeskyttelsesretten mellem sikre og usikre tredjelande eller internationale organisationer. De sikre tredjelande og organisationer er dem, som Europa-Kommissionen med en tilstrækkelighedsafgørelse har vurderet til at have et beskyttelsesniveau for personoplysninger, som i det væsentlige svarer til niveauet inden for EU.

Til sikre tredjelande eller organisationer kan en overførsel som udgangspunkt ske uden videre, hvorimod en overførsel til usikre tredjelande eller organisationer kræver, at der fastsættes fornødne garantier for at sikre en tilstrækkelig beskyttelse, eller at nogle særlige undtagelser finder anvendelse. 

Du finder Europa-Kommissionens liste over sikre tredjelande og organisationer her.

Ved overførsler af personoplysninger til et tredjeland eller en international organisation gælder en række særlige regler i databeskyttelsesforordningens kapitel V. Her findes også de såkaldte overførselsgrundlag i artikel 45-46. De anvendes for at sikre, at det høje beskyttelsesniveau for personoplysninger indenfor EU ikke undermineres, blot fordi oplysningerne overføres til lande eller organisationer uden for EU.

Du kan læse om de forskellige overførselsgrundlag her

Europa-Kommissionen har vedtaget standardbestemmelser (også kendt som SCC, Standard Contractual Clauses), som en dataansvarlig eller databehandler i EU kan anvende som overførselsgrundlag ved overførsler af personoplysninger til en dataansvarlig eller en databehandler uden for EU.

Du finder Europa-Kommissionens standardbestemmelser her

Og deres FAQ om standardbestemmelserne her

Privacy Shield var en særlig certificeringsordning for amerikanske virksomheder, som forpligtede virksomhederne til at overholde en række databeskyttelsesprincipper. Europa-Kommissionen havde truffet en tilstrækkelighedsafgørelse for Privacy Shield-ordningen, der gjorde det muligt at overføre personoplysninger fra EU til virksomheder i USA, der havde tilsluttet sig ordningen. Privacy Shield-afgørelsen blev dog kendt ugyldig af EU-Domstolen i Schrems II-dommen.

Privacy Shield-ordningen er nu erstattet af EU-U.S. Data Privacy Framework, som Europa-Kommissionen også har truffet en tilstrækkelighedsafgørelse for. Det er dermed muligt at overføre personoplysninger fra EU til virksomheder i USA, som har tilsluttet sig EU-U.S. Data Privacy Framework.

Du finder listen over virksomheder certificeret under EU-U.S. Data Privacy Framework her

Har du yderligere spørgsmål til Schrems II?

Kontakt os