EU-Domstolen har den 16. juli 2020 afsagt dom i den såkaldte Schrems II-sag. Afgørelsen betyder bl.a., at man som dataansvarlig eller databehandler ikke længere kan benytte Privacy Shield som overførselsgrundlag, hvis man bruger en underdatabehandler i USA.
Sagen kort
GDPR kræver, at virksomheder har et gyldigt overførselsgrundlag, hvis de ønsker at overføre persondata på EU-borgere til et tredjeland, herunder USA og fra 1. januar 2021 også Storbritannien.
’Overførselsgrundlag’ er en række betingelser, hvoraf en af disse skal være til stede, for at en dataansvarlig eller databehandler lovligt kan overføre personoplysninger på EU-borgere til et land uden for EU/EØS. Dette skal sikre, at personoplysningerne opbevares, behandles og videresendes uden for EU med samme grad af sikkerhed, som kræves i et EU-land.
Hidtil kunne dette overførselsgrundlag være, at virksomheden i USA var Privacy Shield certificeret, hvormed man frit kunne overføre til virksomhed.
På baggrund af en klage fra østrigske Maximillian Schrems over, at Facebook Irland har videregivet hans oplysninger til Facebooks moderselskab i USA, har EU-domstolen afgjort, at Privacy Shield ikke giver et tilstrækkeligt beskyttelsesniveau og derfor er ugyldigt som overførelsesgrundlag.
Baggrunden for afgørelsen er, at lovgivning i USA giver de amerikanske myndigheder mulighed for at foretage masseovervågning på et niveau, som ikke stemmer overens med kravene til beskyttelse af personoplysninger i EU.
Hvad skal du gøre nu?
1. Skab overblik og vurder risici
Sørg for, at I har overblik over jeres databehandlere og underdatabehandlere, og om jeres personlige oplysninger overføres til USA. Har I benyttet ’Privacy Shield’ som overførselsgrundlag, skal I overveje alternativer. Se nedenfor.
Gennemgå de enkelte databehandlere og sørg for, at I har vurderet og nedskrevet hvilken persondata de behandler, med hvilket formål og hvilke risici der er forbundet med behandlingen. Tænk over, hvilke sikkerhedsforanstaltninger og kontroller I kan implementere for at nedbringe risici og øge sikkerheden.
Husk, at der kan være underdatabehandlere til jeres databehandlere, som overfører oplysningerne til USA.
2. Hold dig opdateret
Det forventes, at det danske Datatilsyn, Det Europæiske Databeskyttelsesråd samt andre instanser på området vil komme med udtalelser og vejledning i, hvad afgørelsen konkret betyder og hvilke tiltag, der vil være mest hensigtsmæssige. Det vil derfor være en god ide at afvente disse, inden I foretager afgørende ændringer. Du kan også følge os på LinkedIn, hvor vi vil opdatere løbende med råd og vejledning.
3. Overvej alternativer
Undersøg muligheden for fx at benytte en leverandør i et andet land end USA, eller om der er alternative overførselsgrundlag, som kan bruges til jeres overførsel.
På Datatilsynets hjemmeside kan I fx finde en liste over lande udenfor EU, som er at betragte som sikre. Hvis der overføres til disse lande, er der derfor ikke behov for yderligere overførselsgrundlag.
I kan også undersøge, om I kan benytte en af undtagelserne (vær dog opmærksom på at kravene for undtagelse er ret restriktive).
Derudover har EU-domstolen afgjort, at ’EU-Kommissionens standard kontraktbestemmelser’ forsat kan bruges som gyldigt overførselsgrundlag. Ved brug af standard kontraktbestemmelser, skal den dataansvarlige og databehandleren i fællesskab vurdere, om lovgivningen i det tredjeland, der overføres til, gør det muligt at efterleve kravene i standardkontraktbestemmelserne.
Det er dog ikke klart, om standardkontraktbestemmelserne forsat kan bruges til overførsel af personoplysninger til USA.
Du kan læse mere om afgørelsen på Datatilsynets hjemmeside.
Du kan også kontakte Grant Thornton for yderligere oplysninger og assistance. Vi sidder klar med hjælp og rådgivning.