Schrems II

Her på siden kan du læse om Schrems II-sagen vedrørende brugen af EU-Kommissionens standardkontrakter og Privacy Shield.

EU-Domstolens dom i Schrems II-sagen

EU-Domstolen afsagde den 16. juli 2020 dom i Schrems II-sagen, som vedrørte brugen af EU-Kommissionens standardkontrakter og Privacy Shield.

Schrems II-sagen kort fortalt

EU-Domstolen afsagde den 16. juli 2020 dom i den såkaldte Schrems II-sag (C-311/18), som vedrørte brugen af Privacy Shield-afgørelsen og EU-Kommissionens standardbestemmelser som grundlag for overførsler af personoplysninger til USA.

Sagen ved EU-Domstolen udsprang af en retssag, som det irske datatilsyn havde anlagt på baggrund af en klage fra den østrigske privatlivsaktivist Maximillian Schrems over Facebooks overførsler af hans personoplysninger fra Facebook Ireland til moderselskabet Facebook Inc. i USA.

EU-Domstolens dom

EU-Domstolen erklærede Privacy Shield-afgørelsen ugyldig, fordi amerikansk lovgivning ikke satte tilstrækkeligt klare rammer for de amerikanske myndigheders adgang til personoplysninger, som blev overført til USA, og fordi EU-registrerede ikke havde mulighed for at klage til en uafhængig klageinstans over myndighedernes overvågning af dem.

EU-Domstolen fastslog endvidere, at EU-Kommissionens standardbestemmelser fortsat kunne anvendes ved overførsler til usikre tredjelande, men at dataeksportøren var forpligtet til at sikre sig, at beskyttelsesniveauet for de overførte oplysninger i det væsentligste svarede til det indenfor EU. Ved vurderingen ville det eksempelvis være relevant at kigge på lovgivning og praksis i tredjelandet, herunder myndighedernes (f.eks. efterretningstjenesternes) muligheder for at få adgang til personoplysninger, kontrollen hermed og de registreredes klagemuligheder. Om nødvendigt skulle eksportøren sørge for supplerende foranstaltninger for at tilvejebringe et tilstrækkeligt beskyttelsesniveau for de overførte oplysninger.

Du kan læse dommen på dansk her.

FAQ

Spørgsmål til dommen

  • Datatilsynet har offentliggjort en Q&A om Schrems II-dommen og dens konsekvenser, som du kan finde her.
  • Det Europæiske Databeskyttelsesråd (EDPB) har lavet en FAQ, som du kan finde her.
Det Europæiske Databeskyttelsesråd

Anbefalinger på baggrund af dommen

Det Europæiske Databeskyttelsesråd (EDPB) har på baggrund af Schrems II-dommen udarbejdet anbefalinger om supplerende foranstaltninger ved overførsel til tredjelande.

Du kan læse anbefalingerne om supplerende foranstaltninger her.

EDPB har i forlængelse af dommen også vedtaget anbefalinger om de europæiske væsentlige garantier for overvågningsforanstaltninger. Anbefalingerne kan være til hjælp, når dataansvarlige skal foretage den vurdering af lovgivningen i et tredjeland, som der henvises til i anbefalingerne om supplerende foranstaltninger.

Du kan læse anbefalingerne om de europæiske væsentlige garantier for overvågningsforanstaltninger på EDPB’s hjemmeside her.

 

Ord- og begrebsforklaring

Ved overførsel af personoplysninger til et tredjeland eller en international organisation gælder en række særlige regler for overførsel af personoplysninger til tredjelande eller til internationale organisationer, også kaldet tredjelandsoverførsler.

Reglerne skal sikre, at den databeskyttelse som de registrerede borgere, kunder m.fl. er sikret i EU efter databeskyttelsesforordningens regler ikke bliver udvandet, blot fordi oplysningerne overføres til lande eller organisationer uden for EU’s grænser.

Et ”tredjeland” er et land, som ikke er medlem af EU eller EØS (Island, Liechtenstein og Norge). Der sondres i GDPR mellem, om en overførsel sker til såkaldte sikre (artikel 45) eller usikre (artiklerne 46, 47 og 49) tredjelande eller internationale organisationer.

Er der tale om sikre tredjelande eller organisationer kan en overførsel som udgangspunkt ske uden videre, hvorimod en overførsel til usikre tredjelande eller organisationer kræver, at der fastsættes fornødne garantier eller, at nogle særlige undtagelser finder anvendelse. Du finder listen over de nuværende tredjelandsgodkendelser her.

Begrebet ”overførsel” dækker både den situation, hvor en dataansvarlig i EU videregiver personoplysninger til en dataansvarlig uden for EU og den situation, hvor en dataansvarlig (eller en databehandler) i EU overlader en behandling af personoplysninger til en databehandler uden for EU.

EU-Kommissionen har vedtaget to standardkontrakter, som en dataansvarlig også efter dommen i dag fra EU-Domstolen kan anvende som gyldigt overførselsgrundlag ved overførsel til henholdsvis en dataansvarlig eller en databehandler uden for EU.

I Schrems II skulle EU-Domstolen tage stilling til gyldigheden af EU-Kommissionens standardkontrakt om overførsel af personoplysninger mellem dataansvarlige (EU-Kommissionens afgørelse 5. februar 2010 om standardkontraktbestemmelser for videregivelse af personoplysninger til dataansvarlige etableret i tredjelande i henhold til Europa-Parlamentets og Rådets direktiv 95/46/EF (2010/87/EU)).

Du finder EU-kommisionens standardkontraker her.

Privacy Shield er en særlig ordning baseret på EU-Kommissionens afgørelse 2016/1250, der tidligere har gjort det muligt at overføre personoplysninger fra EU til virksomheder i USA, der havde tilsluttet sig ordningen. Privacy Shield ordningen er nu ugyldig.

Har du yderligere spørgsmål til Schrems II?

Kontakt os