EU-Domstolen har i Schrems II-dommen (C-311/18) kendt grundlaget for over­førsler til USA, EU–U.S. Privacy Shield, ugyldigt. EU’s modelkontrakter for overførsler til tredjelande er fortsat gyldige, men svære og grænsende til umulige at anvende.

Sagen, der er indledt af østrigske Max Schrems, vedrører overførsel af person­oplysninger til lande uden for EU/EØS, som EU-Kommissionen ikke har fundet som værende “et sikkert tredjeland” – såkaldte “usikre tredjelande”.

Når en dataansvarlig, fx en myndighed eller en virksomhed, vil overføre person­oplysninger til usikre tredjelande, skal der ifølge persondatareglerne være et “grundlag” for overførslen.

Dommen angår to af de væsentligste overførselsgrundlag:

1. EU’s modelkontrakt fra 2010 om over­førsler til databehandlere i tredje­lande

En kontrakt, der indgås mellem den dataansvarlige, som er etableret inden for EU /EØS, og data­behandleren, som er etableret uden for EU/EØS.
Kontraktens anvendelse er blevet kendt gyldig; dog med væsentlige indskærpelser i forhold til anvendelsen.

2. EU–U.S. Privacy Shield

En ordning amerikanske virksomheder har kunnet tilmelde sig hos det amerikanske handelsministerium ved at selv-certificere, at de overholder principper for privatlivsbeskyttelse.
Ordningen er blevet kendt ugyldig og kan ikke længere anvendes som over­førselsgrundlag.

Der gælder ingen overgangsperiode fra dommens afsigelse 16. juli 2020, og dens konklusioner har derfor øjeblikkelig virkning.

1. Brug af modelkontrakten for over­førsler til databehandlere

Efter databeskyttelsesforordningens (GDPR) art. 46 om fornødne garantier må en dataansvarlig eller en data­behandler kun overføre person­oplysninger til et tredjeland eller en international organisation, hvis vedkommende har:

  • givet de fornødne garantier og på betingelse af
  • at de registrerede har rettigheder, som kan håndhæves, og
  • at effektive retsmidler er tilgængelige.

De fornødne garantier kan eksempelvis sikres ved at indgå EU’s modelkontrakt.

  • Dog konkluderer EU-Domstolen, at de registreredes grundlæggende rettigheder – fx ret til indsigt
  • og håndhævelsen heraf over for tredjelandets myndigheder ved uafhængige og upartiske domstole
  • ikke sikres blot ved indgåelsen af EU’s modelkontrakt.

Inden overførslen baseres på en model­kontrakt, skal eksportøren altså nu vurdere, om beskyttelsesniveauet i tredjelandet “i det væsentlige” svarer til det beskyttelsesniveau, som EU’s Charter om Grundlæggende Rettigheder og GDPR foreskriver. Eksportøren skal bl.a. identificere, om den registreredes rettigheder sikres, og om der kan ske håndhævelse ved uafhængige og upartiske domstole.

I denne analyse bør indgå de kontrakt­vilkår, der aftales mellem eksportøren og importøren, og lovgivning og praksis for tredjelandets myndigheders adgang til de overførte personoplysninger.

At tredjelandets offentlige myndigheder har adgang til oplysningerne, hindrer ikke i sig selv en overførsel. Afgørende er, at adgangen skal bygge på retsstats­principper; navnlig at adgangen holdes inden for det strengt nødvendige ud fra klare og præcise regler, og at der er effektiv beskyttelse mod misbrug. Dette er særligt relevant ved automatiseret behandling.

EU-Domstolen har med Schrems II-afgørelsen slået fast, at USA’s lovgivning ikke opfylder disse krav. De dataansvarlige og databehandlere, som overfører personoplysninger til USA, må derfor nu undersøge, om der kan kompenseres for det – eksempelvis ved at iværksætte juridiske eller tekniske foranstaltninger til at sikre, at beskyttelses­niveauet i tredjelandet “i det væsentlige” svarer til EU’s Charter om Grundlæggende Rettigheder og GDPR.

Det er endnu uvist, hvad de supplerende foranstaltninger kan bestå i, men det kunne fx være “end to end”-kryptering og kryptering under lagring, som gør oplysningerne utilgængelige for myndighederne, også i de undersøiske kabler. Hvis udenlandske efterretnings­tjenester alligevel kan bryde krypteringen eller uden retsstatsprincipper kan pålægge dataeksportøren at udlevere dekrypteringsnøglen, vil de fornødne garantier ikke være til stede. Det bliver i praksis umuligt løbende at dokumentere, at efterretningstjenesterne ikke er foran leverandøren og dennes underdata­behandlere i det teknologiske kapløb. Vi afventer p.t. Det Europæiske Databeskyttelsesråds vejledning til foranstaltninger.

De to betingelser vedrørende rettigheder og effektive retsmidler skal derudover altid være opfyldt, uanset hvor mange foranstaltninger der iværksættes som supplement til standardkontrakten.

Importørens informationspligt til eksportøren

Når personoplysninger er overført til tredjelandet, skal importøren informere eksportøren, hvis lovgivningen for databeskyttelse i tredjelandet ændres. Dette gælder, uanset hvilke for­anstaltninger der er truffet. Importøren skal også informere eksportøren, hvis importøren ikke kan overholde model­kontrakten, fx fordi en myndighed i tredjelandet anmoder om adgang til oplysningerne. Det gælder, uanset at importøren ikke må oplyse detaljer om, hvorfor de ikke kan overholde kontrakten, fx som følge af pålæg om tavshed fra myndigheden i tredjelandet.

Eksportøren skal i begge tilfælde vurdere, om oplysningerne er tilstrækkeligt beskyttet i tredjelandet. Hvis ikke, skal databehandlingen i tredjelandet straks ophøre. Vælger eksportøren at fortsætte overførslen, skal det i Danmark meddeles Datatilsynet.

Ifølge dommen har EU’s tilsyns­myndigheder ikke blot ret, men også pligt til at suspendere eller forbyde en overførsel, hvis kravene til databeskyttelse ikke er opfyldt.

2. EU – U.S. Privacy Shield

Efter GDPR art. 45 er en overførsel til et tredjeland (sektorer, områder mv.) tilladt, hvis EU-Kommissionen har truffet afgørelse om, at tredjelandet har et “tilstrækkeligt beskyttelsesniveau”. Det behøver ikke være “identisk” med niveauet i EU, men det skal “i det væsentlige” svare til det.

Selv-certificeringen via EU – U.S. Privacy Shield har været udtryk for, at den pågældende virksomhed levede op til dette krav. EU-Domstolen har med sin afgørelse fastslået, at dette ikke er tilfældet, blandt andet som følge af den amerikanske antiterrorlovgivning.

Andre overførselsgrundlag til tredjelande

Bindende virksomhedsregler og model­kontrakterne fra 2001 og 2004

Bindende virksomhedsregler og EU’s modelkontrakter for overførsler fra dataansvarlige i EU til dataansvarlige i tredjelande (fra 2001 og 2004) er om muligt under endnu større pres i de usikre tredjelande. Oplysningerne skal kunne læses og behandles af importøren som dataansvarlig, og den adgang kan formentlig ikke imødegås blot med en foranstaltning som kryptering.

Samtykke, kontrakt mv.

Det efterlader ad-hoc-grundlag i GDPR’s art. 49 – fx samtykke, kontrakt med den registrerede og varetagelse af retskrav – som mulige over­førsels­grundlag. Anvendelsesområdet for disse overførselsgrundlag er yderst smalt, og særligt offentlige myndigheder skal være opmærksomme på, at de ikke kan anvende samtykke eller kontrakterne som overførselsgrundlag ved myndig­heds­udøvelse.

Cloud

Betyder det enden for cloud, som vi kender det? Det er tæt på. I hvert fald hvis man tænker cloud som et globalt koncept, da hverken USA, Kina, Indien eller Filippinerne, som alle er nøglelande inden for cloud, p.t. er sikre tredjelande. Dataansvarlige er derfor selv ansvarlige for at undersøge landenes lovgivning op mod EU-lovgivningen.

Cloud som tjeneste kan derfor godt videreføres, hvis cloud-udbydere og underdatabehandlere i hele kæden hjælper de dataansvarlige med at dokumentere tredjelandets lovgivning, og der er iværksat effektive for­anstaltninger under og efter over­førslen.

De cloud-udbydere, der vil vinde markedet, er dem, som kan omstille sig hurtigst og betrygger EU-kunderne ved løbende at sikre dokumentation for tredje­landets lovgivning, og som kan implementere de nødvendige sikkerheds­foranstaltninger, fx krypteringsteknologi mv.

Der venter dog cloud-udbyderne et stort lobbyarbejde i tredjelandene og alle os andre en stor complianceindsats.

Forfattere

Birgitte Toxværd

Partner

Christoffer Alsted Skafte

Advokat