Er Schrems II-dommen relevant for mig som registreret?
- Schrems II-dommen er relevant for dig, hvis dine personoplysninger overføres ud af EU/EØS - og til et land der ikke er godkendt som et sikkert tredjeland af Kommissionen.
- Hvis du er i tvivl, kan du starte med at spørge den dataansvarlige om, hvordan de behandler dine personoplysninger, herunder om de evt. overføres ud af EU. Du kan ligeledes spørge ind til, om de har et såkaldt overførselsgrundlag og i givet fald hvilket.
- Hvis du eksempelvis finder ud af, at de stadigvæk anvender Privacy Shield som overførselsgrundlag, kan du klage til Datatilsynet. Du kan finde information om, hvordan du klager til Datatilsynet her.
Er Schrems II-dommen relevant for mig som dataansvarlig/databehandler?
- Schrems II-dommen er kun relevant for dig som dataansvarlig/databehandler, hvis du overfører personoplysninger ud af EU/EØS – og til lande der ikke er godkendt som sikre tredjelande af Kommissionen.
- Start derfor med at få et overblik over, om du overfører data ud af EU/EØS. Det kan f.eks. være tilfældet, hvis du bruger en databehandler/underdatabehandler, der etableret uden for EU. Det nemmeste er i den situation at starte med at kigge i databehandleraftalen samt tale med din databehandler/underdatabehandler og spørge ind til deres overvejelser i lyset af dommen.
- Hvis du overfører oplysninger ud af EU/EØS, er næste skridt at undersøge, hvilket overførselsgrundlag du anvender. Man må kun overføre personoplysninger ud af EU/EØS, hvis man har et såkaldt overførselsgrundlag. Det kan eksempelvis være (det nu ugyldige) Privacy Shield, standardkontrakter eller bindende virksomhedsregler.
- Dommen vedrører primært Privacy Shield og Kommissionens standardkontrakter, men du skal være opmærksom på, at den også har konsekvenser for de andre mulige overførselsgrundlag. Det er en af de ting, som de europæiske datatilsyn er ved at undersøge nærmere.
- Generelt set gør dommen det rigtig svært fremadrettet at overføre personoplysninger til USA. Kommissionen arbejder dog intensivt på at finde en ny løsning med USA. Ligesom de europæiske datatilsyn arbejder videre på at klarlægge dommens konsekvenser.
Hvor kan jeg finde mere information?
- Det Europæiske Databeskyttelsesråd har lavet en FAQ, som du kan finde her. De europæiske datatilsyn er derudover i fuld gang med at undersøge konsekvenserne af dommen, og vi lægger løbende ny information ud på vores hjemmeside.
- Du kan desuden læse mere om overførselsgrundlag generelt i Datatilsynets vejledning om overførsel af personoplysninger til tredjelande her.
Hvis du har overført personoplysninger til USA på baggrund af Privacy Shield:
- Hvis du har overført personoplysninger til USA på baggrund af Privacy Shield, skal du overveje, om du fremadrettet kan bruge et andet overførselsgrundlag, da det nu er ulovligt at bruge Privacy Shield. Alternativt kan du overveje, om en af undtagelserne i artikel 49 kan bruges.
- Hvis du overvejer at bruge eksempelvis Kommissionens standardkontrakter som overførselsgrundlag fremadrettet, skal du være opmærksom på, at du - selvom EU-Domstolen som udgangspunkt har erklæret standardkontrakterne gyldige - skal foretage en vurdering af forholdene i det tredjeland, som du ønsker at overføre personoplysninger til. Vurderingen skal sikre, at den beskyttelse, som etableres ved brug af standardkontrakterne, er ”essentially equivalent” med den, som vi har i EU, og dermed ikke undermineres af forholdene i tredjelandet. Ved vurderingen vil det eksempelvis være relevant at kigge på lovgivningen i tredjelandet, herunder myndighedernes (f.eks. efterretningstjenesternes) muligheder for at få adgang til personoplysninger, kontrollen hermed og de registreredes klagemuligheder.
- I forhold til USA konkluderer dommen, at der skal træffes supplerende foranstaltninger (såkaldte ”supplementary measures”), der afhjælper forholdene. Hvad der nærmere forstås med supplerende foranstaltninger, er en af de ting, som de europæiske datatilsyn i fællesskab vil forsøge at få en afklaring på i den kommende tid. Vi anbefaler, at du starter med at tage kontakt til den dataansvarlige/databehandleren i USA og spørger dem, hvilke overvejelser de har gjort sig i lyset af dommen.
- Hvis dine undersøgelser viser, at du ikke kan sikre et tilstrækkeligt beskyttelsesniveau ved brug af overførselsværktøjerne i GDPR – og undtagelserne i artikel 49 heller ikke kan anvendes - skal du stoppe med at overføre oplysninger til USA.
- I forhold til artikel 49 skal du særligt være opmærksom på, at undtagelserne har et meget snævert anvendelsesområde, og at flere af dem ikke kan bruges, hvis du er en offentlig myndighed. Du kan læse mere om undtagelserne i Databeskyttelsesrådets retningslinjer herom, som ligger på vores hjemmeside.
- Hvis du har overført oplysninger på baggrund af Privacy Shield, bør du bede modtageren i tredjelandet om at slette eller returnere de overførte oplysninger.
Hvis du anvender EU-Kommissionens standardkontrakter til at overføre personoplysninger til USA og/eller andre tredjelande:
- Du skal være opmærksom på, at du - selvom EU-Domstolen som udgangspunkt har erklæret standardkontrakterne gyldige - skal foretage en vurdering af forholdene i det tredjeland, som du ønsker at overføre personoplysninger til. Vurderingen skal sikre, at den beskyttelse, som etableres ved brug af standardkontrakterne, er ”essentially equivalent” med den, som vi har i EU, og dermed ikke undermineres af forholdene i tredjelandet. Ved vurderingen vil det eksempelvis være relevant at kigge på lovgivningen i tredjelandet, herunder myndighedernes (f.eks. efterretningstjenesternes) muligheder for at få adgang til personoplysninger, kontrollen hermed og de registreredes klagemuligheder.
- I forhold til USA konkluderer dommen, at der skal træffes supplerende foranstaltninger (såkaldte ”supplementary measures”), der afhjælper forholdene. Hvad der nærmere forstås med supplerende foranstaltninger, er en af de ting, som de europæiske datatilsyn i fællesskab vil forsøge at få en afklaring på i den kommende tid. Vi anbefaler, at du starter med at tage kontakt til den dataansvarlige/databehandleren i USA og spørger dem, hvilke overvejelser de har gjort sig i lyset af dommen.
- Hvis dine undersøgelser viser, at du ikke kan sikre et tilstrækkeligt beskyttelsesniveau ved brug af overførselsværktøjerne i GDPR – og undtagelserne i artikel 49 heller ikke kan anvendes - skal du stoppe med at overføre personoplysninger.
- I forhold til artikel 49 skal du særligt være opmærksom på, at undtagelserne har et meget snævert anvendelsesområde, og at flere af dem ikke kan bruges, hvis du er en offentlig myndighed. Du kan læse mere om undtagelserne i Databeskyttelsesrådets retningslinjer herom, som ligger på vores hjemmeside.
- Hvis du har overført oplysninger på baggrund af standardkontrakterne, og overførslen ikke længere kan finde sted, skal du bede modtageren i tredjelandet om at slette eller returnere de overførte oplysninger.