EU-Domstolens dom i Schrems II-sagen

EU-Domstolen afsagde den 16. juli 2020 dom i Schrems II-sagen, som vedrørte brugen af EU-Kommissionens standardkontrakter og Privacy Shield.

Schrems II-sagen

Sagen kort fortalt

Sagen ved EU-Domstolen udspringer af en retssag, som det irske datatilsyn (DPC) har anlagt på baggrund af en klage fra den østrigske statsborger, Maximillian Schrems. Klagen vedrørte overførsel af hans personoplysninger fra Facebook Ireland til virksomhedens moderselskab Facebook Inc., der er etableret i USA.

Facebook Ireland brugte tidligere den såkaldte Safe Harbour-aftale som overførselsgrundlag, men efter EU-domstolens underkendelse af Safe Harbour-aftalen mellem EU og USA ved Schrems I-dommen, overgik Facebook Ireland til at bruge EU-Kommissionens standardkontrakt som overførselsgrundlag. 

EU-Domstolens dom

EU-Domstolen har den 16. juli 2020 afsagt dom i sagen C-311/18, den såkaldte ”Schrems II-sag”. EU-Domstolen har erklæret, at ”Privacy Shield-afgørelsen” er ugyldig. Det betyder, at der fremadrettet ikke kan ske overførsel af personoplysninger til USA ved brug af Privacy-Shield. EU-Domstolen fastslår derimod, at EU-Kommissionens standardkontrakter fortsat er gyldige. Dommen rejser dog en række spørgsmål, som skal undersøges nærmere.

I det Europæiske Databeskyttelsesråd vil Datatilsynet i den kommende tid sammen med de andre europæiske tilsynsmyndigheder foretage en nærmere analyse af dommen og dens betydning for overførsel af personoplysninger til tredjelande og internationale organisationer, herunder dommens betydning for de øvrige overførselsgrundlag.

Du kan læse dommen her på dansk. 

Spørgsmål til dommen

Datatilsynet har offentliggjort en foreløbig Q&A om Schrems II-dommen og dens konsekvenser, som du kan finde her.

Derudover er de europæiske datatilsyn i fuld gang med at undersøge konsekvenserne af dommen, Det Europæiske Databeskyttelsesråd har lavet en FAQ, som du kan finde her.

Datatilsynet vil løbende lægge ny information ud på vores hjemmeside.

 Anbefalinger fra Det Europæiske Databeskyttelsesråd på baggrund af dommen

Det Europæiske Databeskyttelsesråd har på baggrund af Schrems II-dommen udarbejdet anbefalinger om supplerende foranstaltninger ved overførsel til tredjelande. Udkastet til anbefalingerne blev vedtaget den 10. november 2020 og har efterfølgende været i offentlig høring. Den endelige version af anbefalingerne forventes vedtaget inden for den nærmeste fremtid.

Du kan læse udkastet til anbefalinger om supplerende foranstaltninger på Det Europæiske Databeskyttelsesråds hjemmeside.

Det Europæiske Databeskyttelsesråd har i forlængelse af dommen også vedtaget anbefalinger om europæiske væsentlige værdier for overvågningsforanstaltninger. Anbefalingerne kan være til hjælp, når dataansvarlige skal foretage den vurdering af lovgivningen i et tredjeland, som der henvises til i anbefalingerne om supplerende foranstaltninger.

Du kan læse anbefalingerne om europæiske væsentlige værdier for overvågningsforanstaltninger på Det Europæiske Databeskyttelsesråds hjemmeside.

Ord- og begrebsforklaring 

Begrebet ”overførselsgrundlag”

Ved overførsel af personoplysninger til et tredjeland eller en international organisation gælder en række særlige regler for overførsel af personoplysninger til tredjelande eller til internationale organisationer, også kaldet tredjelandsoverførsler.

Reglerne skal sikre, at den databeskyttelse som de registrerede borgere, kunder m.fl. er sikret i EU efter databeskyttelsesforordningens regler ikke bliver udvandet, blot fordi oplysningerne overføres til lande eller organisationer uden for EU’s grænser.

Begrebet ”tredjeland”

Et ”tredjeland” er et land, som ikke er medlem af EU eller EØS (Island, Liechtenstein og Norge). Der sondres i GDPR mellem, om en overførsel sker til såkaldte sikre (artikel 45) eller usikre (artiklerne 46, 47 og 49) tredjelande eller internationale organisationer. Er der tale om sikre tredjelande eller organisationer kan en overførsel som udgangspunkt ske uden videre, hvorimod en overførsel til usikre tredjelande eller organisationer kræver, at der fastsættes fornødne garantier eller, at nogle særlige undtagelser finder anvendelse. Du finder listen over de nuværende tredjelandsgodkendelser her.

Begrebet ”overførsel”

Begrebet ”overførsel” dækker både den situation, hvor en dataansvarlig i EU videregiver personoplysninger til en dataansvarlig uden for EU og den situation, hvor en dataansvarlig (eller en databehandler) i EU overlader en behandling af personoplysninger til en databehandler uden for EU.

Kommissionens standardkontrakter

EU-Kommissionen har vedtaget to standardkontrakter, som en dataansvarlig også efter dommen i dag fra EU-Domstolen kan anvende som gyldigt overførselsgrundlag ved overførsel til henholdsvis en dataansvarlig eller en databehandler uden for EU.

I Schrems II skulle EU-Domstolen tage stilling til gyldigheden af EU-Kommissionens standardkontrakt om overførsel af personoplysninger mellem dataansvarlige (EU-Kommissionens afgørelse 5. februar 2010 om standardkontraktbestemmelser for videregivelse af personoplysninger til dataansvarlige etableret i tredjelande i henhold til Europa-Parlamentets og Rådets direktiv 95/46/EF (2010/87/EU)).

Du finder EU-kommisionens standardkontraker her.

Privacy Shield

Privacy Shield er en særlig ordning baseret på EU-Kommissionens afgørelse 2016/1250, der tidligere har gjort det muligt at overføre personoplysninger fra EU til virksomheder i USA, der havde tilsluttet sig ordningen. Privacy Shield ordningen er nu ugyldig