Nyhed

EU-Domstolen skal afgøre lovligheden af centrale grundlag for tredjelandsoverførsler

Når der overføres persondata til lande, der ligger uden for EU – såkaldte tredjelande i persondataretlig forstand – skal der foreligge et tilstrækkeligt overførselsgrundlag. To hidtidige eksempler på sådanne overførselsgrundlag er Privacy Shield, som kan anvendes ved overførsler af persondata fra EU-lande til USA, samt EU-Kommissionens standardkontraker. Disse grundlag anvendes i vidt omfang i dag, men deres lovlighed er blevet anfægtet og spørgsmålet skal snart afgøres af EU-Domstolen.

Datoer for afgørende sager fastsat

Der er nu fastsat datoer for EU-Domstolens behandling af de to vigtige sager vedrørende spørgsmålet om lovligheden af Privacy Shield og EU-Kommissionens standardkontrakter som overførselsgrundlag, når der overføres persondata til USA og andre tredjelande.

Sagen vedrørende lovligheden af Privacy Shield er anlagt af den franske organisation La Quadrature du Net og behandles af EU-Domstolen den 1. og 2. juli 2019.

Sagen vedrørende lovligheden af EU-Kommissionens standardkontrakter er oprindeligt anlagt af Max Schrems ved den irske landsret, som i maj 2018 henviste sagen til behandling hos EU-Domstolen. Facebook appellerede afgørelsen om henvisning til den irske højesteret, som dog har afvist at behandle appellen. EU-Domstolen har sat datoen for behandling af sidstnævnte sag til den 9. juli 2019.

Spørgsmålet om overførselsgrundlagenes lovlighed vedrører spørgsmålet om, hvorvidt grundlagene er i overensstemmelse med EU-lovgivningen, nærmere bestemt EU-charteret og de rettigheder, som det tildeler EU-borgerne. Især USA’s omfattende overvågningspraksis er årsag til tvivlen om, hvorvidt grundlagene er tilstrækkelige.

Hvis din virksomhed overfører persondata til USA eller andre tredjelande og i denne forbindelse gør brug af henholdsvis Privacy Shield eller EU-Kommissionens standardkontrakter som overførselsgrundlag, bliver det nødvendigt med et andet grundlag for overførslerne i tilfælde af, at EU-Domstolen afgør, at de omtalte grundlag er ulovlige, fordi de er i uoverensstemmelse med EU-retten.

Tredje årlige revision af Privacy Shield

Foruden ovennævnte sag hos EU-Domstolen er det snart tid til den tredje årlige revision af Privacy Shield, som Det Europæiske Databeskyttelsesråd foretager årligt.

Det Europæiske Databeskyttelsesråd har på sit tiende plenarmøde udpeget Østrig, Bulgarien, Frankrig, Tyskland, Ungarn og Den Europæiske Tilsynsførende for Databeskyttelse som repræsentanter for rådet til den tredje årlige revision af Privacy Shield, som forventes at finde sted i den nærmeste fremtid.