Det Europæiske Databeskyttelsesråd vedtager anbefalinger efter Schrems II
Som følge af Schrems II-sagen, der blev afsagt af EU-Domstolen den 16. juli 2020, har Det Europæiske Databeskyttelsesråd vedtaget anbefalinger om overførsel af personoplysninger til lande uden for EU/EØS. Der er både vedtaget anbefalinger om iværksættelse af supplerende foranstaltninger og samtidig anbefalinger om europæiske essentielle garantier.
Schrems II-sagen
EU-Domstolen har en afgørende rolle i forbindelse med forståelsen af EU’s databeskyttelsesregler og står for den endelige fortolkning af databeskyttelsesforordningen (GDPR). EU-Domstolen afsagde dom i Schrems II-sagen (C-311/18) den 16. juli 2020 vedrørende overførsel af den østrigske statsborger Maximillian Schrems’ personoplysninger fra Facebook Ireland til virksomhedens moderselskab Facebook Inc. i USA.
EU-Domstolen fastslog, at Privacy Shield-ordningen* er ugyldig og fremover ikke kan anvendes som overførselsgrundlag, da denne ordning ikke sikrer en tilstrækkelig beskyttelse af de personoplysninger, der overføres fra EU/EØS til lande uden for EU/EØS (tredjelande). EU-Domstolen fastslog dog i denne forbindelse, at EU-Kommissionens standardkontrakter fortsat er gyldige som overførselsgrundlag til lande uden for EU/EØS, hvis de sikrer et beskyttelsesniveau, som er "essentially equivalent" med niveauet i EU/EØS.
Dommen har dog rejst en række spørgsmål om dens betydning for overførsel af personoplysninger til tredjelande, og Det Europæiske Databeskyttelsesråd (EDPB) har i denne forbindelse offentliggjort to anbefalinger, som skal afklare, hvordan man kan sikre overholdelse af databeskyttelsesreglerne ved overførsel af personoplysninger til tredjelande.
EDPB’s nye anbefalinger
EDPB vedtog på deres plenarmøde den 10. november 2020 to forskellige dokumenter med anbefalinger om overførsel af personoplysninger til tredjelande, som skal medvirke til en konsekvent anvendelse af GDPR i alle EU-lande.
Det første dokument indeholder anbefalinger om iværksættelse af supplerende foranstaltninger, som vil blive sendt i offentlig høring, inden det bliver endeligt vedtaget.
Det andet dokument indeholder anbefalinger om europæiske essentielle garantier og er endeligt vedtaget.
I Schrems II-sagen fastslog EU-domstolen, at der skal foretages en konkret vurdering i hver sag for at sikre, at reguleringen i tredjelandet sikrer en beskyttelse af de overførte personoplysninger, der svarer til beskyttelsen inden for EØS-området. EU-Domstolen bemærkede, at man kan tilføje supplerende foranstaltninger til EU-Kommissionens standardkontrakter, hvis EU-Kommissionens standardkontrakter ikke giver den tilstrækkelig beskyttelse. Med den første anbefaling om iværksættelse af supplerende foranstaltninger søger EDPB at gøre det nemmere for både dataansvarlige og databehandlere at identificere og anvende supplerende foranstaltninger. Anbefalingen indeholder blandt andet en ikke-udtømmende liste over eksempler på supplerende foranstaltninger og fremlægger konkrete scenarier, hvor supplerende foranstaltninger kan være nødvendige. Anbefalingen indeholder også et ’road map’, som både giver et overblik over hvilke skridt dataeksportøre skal tage, for at finde ud af, om de skal indføre supplerende foranstaltninger og samtidig kan hjælpe med at identificere hvilke foranstaltninger, der vil være mest effektive.
Ved siden af denne anbefaling vedtog EDPB ligeledes en anbefaling om europæiske essentielle garantier, som omhandler tiltag i forbindelse med overvågning. Anbefalingen oplister fire essentielle garantier og giver dataansvarlige og databehandlere en række elementer, som de kan anvende til at afgøre, hvorvidt offentlige myndigheders adgang til personoplysninger til brug for overvågning i tredjelande kan anses for at være berettiget i relation til GDPR og EU’s Charter om Grundlæggende Rettigheder.
Er anbefalingerne relevante for dig?
Både Schrems II-afgørelsen og de to anbefalinger kan have store praktiske konsekvenser for dataansvarlige og databehandlere, hvis der foretages overførelse af personoplysninger til tredjelande.
Man skal altid sikre, at der findes en tilsvarende beskyttelse af personoplysninger i det tredjeland man overfører data til. Man kan med fordel gennemgå EDPB’s offentliggjorte road map og vurdere, om man skal iværksætte supplerende foranstaltninger. Man skal desuden være opmærksom på, at selv supplerende foranstaltninger ikke sikrer en tilstrækkelig beskyttelse i alle tilfælde, og at man altid skal foretage en konkret vurdering.
Er du i tvivl, om din virksomhed overholder kravene til overførsel af personoplysninger til tredjelande, eller om du skal benytte dig af supplerende foranstaltninger, kan NJORD bistå med vejledning og compliance-tjek.
*Privacy Shield-ordningen gjorde det tidligere muligt at overføre personoplysninger fra EU til virksomheder i USA, hvis virksomhederne havde tilsluttet sig ordningen.