EU-Domstolens dom i Schrems II-sagen

EU-Domstolen afsagde den 16. juli 2020 dom i Schrems II-sagen, som vedrørte brugen af EU-Kommissionens standardkontrakter og Privacy Shield.

Schrems II-sagen

Sagen kort fortalt

Sagen ved EU-Domstolen udspringer af en retssag, som det irske datatilsyn (DPC) har anlagt på baggrund af en klage fra den østrigske statsborger, Maximillian Schrems. Klagen vedrørte overførsel af hans personoplysninger fra Facebook Ireland til virksomhedens moderselskab Facebook Inc., der er etableret i USA.

Facebook Ireland brugte tidligere den såkaldte Safe Harbour-aftale som overførselsgrundlag, men efter EU-domstolens underkendelse af Safe Harbour-aftalen mellem EU og USA ved Schrems I-dommen, overgik Facebook Ireland til at bruge EU-Kommissionens standardkontrakt som overførselsgrundlag. 

EU-Domstolens dom

EU-Domstolen har den 16. juli 2020 afsagt dom i sagen C-311/18, den såkaldte ”Schrems II-sag”. EU-Domstolen har erklæret, at ”Privacy Shield-afgørelsen” er ugyldig. Det betyder, at der fremadrettet ikke kan ske overførsel af personoplysninger til USA ved brug af Privacy-Shield. EU-Domstolen fastslår derimod, at EU-Kommissionens standardkontrakter fortsat er gyldige. Dommen rejser dog en række spørgsmål, som skal undersøges nærmere.

I det Europæiske Databeskyttelsesråd vil Datatilsynet i den kommende tid sammen med de andre europæiske tilsynsmyndigheder foretage en nærmere analyse af dommen og dens betydning for overførsel af personoplysninger til tredjelande og internationale organisationer, herunder dommens betydning for de øvrige overførselsgrundlag.

Du kan læse dommen her på dansk. 

Spørgsmål til dommen

Datatilsynet har offentliggjort en foreløbig Q&A om Schrems II-dommen og dens konsekvenser, som du kan finde her.

Derudover er de europæiske datatilsyn i fuld gang med at undersøge konsekvenserne af dommen, Det Europæiske Databeskyttelsesråd har lavet en FAQ, som du kan finde her.

Datatilsynet vil løbende lægge ny information ud på vores hjemmeside.

 

Ord- og begrebsforklaring 

Begrebet ”overførselsgrundlag”

Ved overførsel af personoplysninger til et tredjeland eller en international organisation gælder en række særlige regler for overførsel af personoplysninger til tredjelande eller til internationale organisationer, også kaldet tredjelandsoverførsler.

Reglerne skal sikre, at den databeskyttelse som de registrerede borgere, kunder m.fl. er sikret i EU efter databeskyttelsesforordningens regler ikke bliver udvandet, blot fordi oplysningerne overføres til lande eller organisationer uden for EU’s grænser.

Begrebet ”tredjeland”

Et ”tredjeland” er et land, som ikke er medlem af EU eller EØS (Island, Liechtenstein og Norge). Der sondres i GDPR mellem, om en overførsel sker til såkaldte sikre (artikel 45) eller usikre (artiklerne 46, 47 og 49) tredjelande eller internationale organisationer. Er der tale om sikre tredjelande eller organisationer kan en overførsel som udgangspunkt ske uden videre, hvorimod en overførsel til usikre tredjelande eller organisationer kræver, at der fastsættes fornødne garantier eller, at nogle særlige undtagelser finder anvendelse. Du finder listen over de nuværende tredjelandsgodkendelser her.

Begrebet ”overførsel”

Begrebet ”overførsel” dækker både den situation, hvor en dataansvarlig i EU videregiver personoplysninger til en dataansvarlig uden for EU og den situation, hvor en dataansvarlig (eller en databehandler) i EU overlader en behandling af personoplysninger til en databehandler uden for EU.

Kommissionens standardkontrakter

EU-Kommissionen har vedtaget to standardkontrakter, som en dataansvarlig også efter dommen i dag fra EU-Domstolen kan anvende som gyldigt overførselsgrundlag ved overførsel til henholdsvis en dataansvarlig eller en databehandler uden for EU.

I Schrems II skulle EU-Domstolen tage stilling til gyldigheden af EU-Kommissionens standardkontrakt om overførsel af personoplysninger mellem dataansvarlige (EU-Kommissionens afgørelse 5. februar 2010 om standardkontraktbestemmelser for videregivelse af personoplysninger til dataansvarlige etableret i tredjelande i henhold til Europa-Parlamentets og Rådets direktiv 95/46/EF (2010/87/EU)).

Du finder EU-kommisionens standardkontraker her.

Privacy Shield

Privacy Shield er en særlig ordning baseret på EU-Kommissionens afgørelse 2016/1250, der tidligere har gjort det muligt at overføre personoplysninger fra EU til virksomheder i USA, der havde tilsluttet sig ordningen. Privacy Shield ordningen er nu ugyldig