17 jul Ny EU-dom: Privacy Shield ikke længere lovlig
17. juli 2020
EU-Domstolen har den 16. juli afgjort at US Privacy Shield ikke længere er lovlig som overførselsgaranti til tredjelande – og herunder altså USA.
Hvor kringlet er det?
Den længe ventede Schrems II-sag vedrørte lovligheden af overførelse af personoplysninger til tredjelande enten via EU-standardkontrakter eller via US Privacy Shield (kun gældende for overførsel til USA).
Domstolen har den 16. juli afgjort, at EU-standardkontrakterne stadig kan anvendes i forbindelse med overførsel til tredjelande, men at overførsel via US Privacy Shield ikke længere er valid.
Hvad betyder dommen i praksis?
For dig som agerer DPO, bør du være opmærksom på om afgørelsen har konsekvenser for din virksomhed eller organisation.
For virksomheder og organisationer, der har outsourcet deres databehandling til USA, betyder dommen, at overførelser til USA, som har været dækket af Privacy-Shield ordningen, ikke længere vil være en valid overførelsesgaranti. Databehandling kan som bekendt dække over meget; lige fra den fuldt hostede it-løsning, brug af en web-applikation (ticket-system eller lign.), til applikationsudvikling – eller noget midt i mellem.
Dataansvarlige vil nu have en pligt til at reagere på dommen, hvis de overfører persondata til USA, og uden unødig forsinkelse enten stoppe overførslen eller skifte til en anden overførelsesgaranti.
EU-standardkontrakter kan betyde ny risikovurdering
Virksomheder kan stadig anvende EU-standardkontrakter til at overføre persondata til USA. Dem finder du her. Virksomheder, som agerer som databehandler, skal dog være opmærksomme på, at det er den dataansvarlige og dataimportøren i USA som skal underskrive aftalerne.
Domstolen udtalte yderligere, at en underskrift af standardkontrakter i sig selv ikke er tilstrækkeligt. Tilsynsmyndigheder skal nemlig undersøge om lokale love i praksis vil være i overensstemmelse med kontrakterne, og ophæve kontrakterne, hvis de vurderer at lokale love ikke er i overensstemmelse med klausulerne i kontrakten.
For dataansvarlige vil dette formentlig betyde, at alle overførsler til tredjelande, som er dækket af standardkontrakter, skal risikovurderes på ny, hvor der skal være fokus på lokale love i praksis.
Hvad er undtaget?
Det vil stadig være muligt at overføre persondata til USA, hvis man er omfattet af én af undtagelserne i artikel 49. Det kan være i situationer, hvor den registrerede har givet samtykke til overførelsen eller hvor det er af hensyn til opfyldelse af en kontrakt mellem den registrerede og den dataansvarlige.
Konsekvenser for revisorerklæringer
For virksomheder som får revisorerklæringer (ISAE 3000 GDPR), afventer vi Datatilsynets endelige kommentar til dommen. På nuværende tidspunkt kan vi ikke sige om der kommer en karensperiode for europæiske/danske virksomheder til at forholde sig til dommen, og hvor længe den i så fald vil være.
I forhold til revisionen vil det være en klar fordel at gøre følgende:
- Hvis overførelsen er dækket af Privacy-Shield: Skifte overførelsesgrundlag eller stoppe overførelsen uden unødig forsinkelse.
- Hvis overførelsen er dækket af standardkontrakter: At de dataansvarlige/virksomheden vurderer, om landets love i praksis er i overensstemmelse med klausulerne i standardkontrakten.
De kommende måneder: Hvordan reagerer tilsynsmyndighederne?
På nuværende tidspunkt vil det Danske Datatilsyn, i samarbejde med de andre tilsynsmyndigheder i EU, foretage en nærmere analyse af dommen og dens konsekvenser.
Vores hold af jurister holder øje med deres udtalelser. Samtidigt vil vi kigge nærmere på hvordan vi anbefaler at DPOer og GDPR-ansvarlige forholder sig til dommen, dens konsekvenser og til tilsynets vejledning når den foreligger.
Vi holder dig opdateret i vores nyhedsbrev så snart vi har konkrete anbefalinger om hvordan man bedst forholder sig til dommen i praksis. Du kan tilmelde dig her nedenunder.