Persondata - nyhedsbreve

Ekstraordinært nyhedsbrev :: Juli 2020

27.07.2020

Kære abonnent

Hermed følger et ekstraordinært nyhedsbrev til Persondata om den vigtige afgørelse om overførsel af personoplysninger ud af EU/EØS.

Det er som om, at vigtige tidspunkter inden for databeskyttelsesretten, skal ske i forbindelse med ferier. Sommeren 2020 blev ingen undtagelse; vi skal tilbage til arbejdsbordet og se på overførsler til lande uden for EU. 

Databeskyttelsesforordningen fastsætter særlige regler for lovlig overførsel af persondata ud af EU/EØS. Reglerne er nærmere beskrevet i kapitel 4.3 i håndbogen

Formålet er at sikre den samme beskyttelse af personoplysninger, som gælder i EU, uanset hvor personoplysningerne behandles. Med andre ord; selvom personoplysningerne behandles i eksempelvis USA eller Indien, så skal der sikres den samme grundlæggende beskyttelse, som baserer sig på EU's fundamentale rettigheder. 

EU-domstolen har i en afgørelse den 16. juli 2020 vurderet beskyttelsen i forbindelse med overførsel af personoplysninger til lande uden for EU/EØS, som baserer sig enten på den såkaldte Privacy Shield-aftale eller på de standard overførselsaftaler, som EU-kommissionen har udarbejdet (Standard Contractual Clauses/SCC). 

Hvad handler sagen om
Max Schrems er en østrigsk advokat, som i 2013 stillede spørgsmålstegn ved lovligheden ved Facebooks overførsel af personoplysninger til US. Sagen førte til, at EU-domstolen i 2015 vurderede, at den såkaldte Safe Harbor-aftale ikke gav den tilstrækkelige beskyttelse. Safe Harbor blev efterfølgende erstattet af Privacy Shield. 

Denne nye sag er også anlagt af Max Schrems (hvorfor den kaldes Schrems 2.0) og denne gang skulle EU-domstolen dels vurdere Privacy Shield, men også om overførsel på grundlag af en SCC var lovlig. 

Hvad kom EU-domstolen frem til
EU-domstolen vurderede først, at Privacy Shield aftalen ikke gav den beskyttelse, som Databeskyttelsesforordningen stiller krav om, og at aftalen derfor var ugyldig.

EU-domstolen lagde særlig vægt på, at amerikanske myndigheder har vidtgående overvågningsbeføjelser, og at disse vil kunne tilsidesætte beskyttelsen i Privacy Shield, og dermed få adgang til europæiske personoplysninger. Herudover gav Privacy Shield ikke tilstrækkelig adgang for europæiske borgere kan håndhæve de rettigheder, som Databeskyttelsesforordningen giver, eksempelvis retten til indsigt.  

For så vidt angår SCC’erne, så fastslog EU-domstolen, at aftalerne giver tilstrækkelig beskyttelse og sikkerhed. Men fordi aftalerne ikke kan forpligte myndighederne i det land, om der sker overførsel til, så er det afgørende for aftalernes gyldighed, at myndighederne i det konkrete land ikke kan få adgang til personoplysningerne.

Hvad betyder afgørelsen
Afgørelsen betyder dels, at hvis man som virksomhed/organisation/myndighed har overført personoplysninger til virksomheder/organisationer, som er Privacy Shield-godkendte, så skal denne overførsel ophøre straks, og man skal enten finde en anden løsning inden for EU/EØS eller man skal anvende SCC’erne. 

Anvendes SCC’erne, så skal man dog sikre sig, at der ikke findes lovgivning i det land, som der overføres personoplysninger til, som kan gå bagom aftalerne, og skabe adgang til personoplysningerne. 

Hvorfor er sagen vigtig
I vores globale digitale verden, anerkendes det, at udveksling af digitale oplysninger er vigtig for udvikling af den globale økonomi. Det er derfor grundlæggende vigtigt, at vi kan dele personoplysninger med leverandører og samarbejdspartnere uden for EU/EØS. 

Omvendt er beskyttelsen af vores personoplysninger så fundamental, at den skal sikres også i den globale digitale verdensorden. 

EU-domstolens afgørelse strammer den vurdering og stiller ekstra krav, og med ét er udveksling af personoplysninger med de mere end 5.000 Privacy Shield-godkendte virksomheder, ulovlig. 

Hvad skal man gøre
I forbindelse med afdækningen af datastrømme/dataflows, har man identificeret en række leverandører/samarbejdsparter, som modtager personoplysninger. 

Datastrømsanalysen har dermed identificeret, om personoplysninger overføres til en modtager inden for EU/EØS eller uden for EU. 

Dette skal afdækkes dels for at sikre at man har det lovlige overførsels-grundlag som beskrevet i Databeskyttelsesforordningen kapitel 5, og dels for at sikre, at man får informeret datasubjektet om, at vedkommendes personoplysninger behandles uden for EU. Det skal man nemlig oplyse om. 

Overførslen sker enten i form af i) overførsel til en anden dataansvarlig uden for EU/EØS, eksempelvis overførsel af kundeoplysninger/medarbejderoplysninger til en samarbejdspartner, eller ii) overførsel til en databehandler uden for EU/EØS, eksempelvis overførsel af kundeoplysninger til brug for behandling på vegne af den dataansvarlige virksomhed.

Et eksempel på overførsel af oplysninger efter i) kan være overførsel af medarbejderoplysninger til et moderselskab beliggende i Kina eller USA, hvor moderselskabet behandler medarbejderoplysningerne til eget formål. Det kan også være overførsel af kundeoplysninger til en leverandør, som bruger kundeoplysningerne til egne formål, eksempelvis til brug for analyse og statistik, eller til brug for salg af egne produkter. 

Behandler leverandøren ikke personoplysningerne til egne formål, men til brug for en service til den overførende virksomhed/organisation/myndighed, så vil leverandøren normalt anses som databehandler, dvs. der er tale om situation ii). 

Det kan eksempelvis være udsendelsen af nyhedsbreve via MailChimp, som modtager email-adresser og sørger for udsendelsen. Det kan også være at man anvender SurveyMonkey i forbindelse med kundeundersøgelser, hvor SurveyMonkey behandler personoplysningerne i undersøgelserne til den dataansvarliges formål.

Det kan også være, at man anvender Salesforce som CRM-system, og der i den forbindelse lagres, tilgås eller på anden måde behandles personoplysninger uden for EU/EØS. Det kan også være brug af en cloud-service leverandør, hvor personoplysninger kan opbevares mange steder. 

Både MailChimp og SurveyMonkey er Privacy Shield-godkendte virksomheder. Efter 16. juli 2020 må man imidlertid ikke anvende disse leverandører, medmindre man straks indgår en SCC-aftale med dem. Det samme gælder Salesforce, medmindre der ikke behandles personoplysninger uden for EU/EØS ved brug af systemet. 

Er der tale om en cloud-leverandør, så skal man genbesøge aftalen med leverandøren, og sikre, at personoplysninger ikke behandles eller kan tilgås fra lande uden fra EU. Det kan eksempelvis være Google, som i princippet kan opbevare personoplysningerne i hele verden.

Tjekliste

  1. Behandles, herunder overføres, personoplysninger uden for EU/EØS? (Husk at behandling er et bredt begreb, se kapitel herom).

  2. Hvis ja, hvilket overførselsmekanisme er anvendt:

    a) Privacy Shield; overførslen skal ophøre straks, og man skal enten finde en ny leverandør/samarbejdspart inden for EU/EØS, eller man skal indgå en SCC og sikre forpligtelserne i SCC’en.

    b) SCC; overførslen kan fortsætte, men man skal sikre sig, at forpligtelserne i aftalen efterleves. Det bør ske ved at tage kontakt til aftaleparten i SCC’en og få sikkerhed for, at de lever op til deres forpligtelser i aftalen, herunder eksempelvis sikre, at der ikke er særlige nationale forpligtelser til at udlevere personoplysninger til myndighederne.

Den nye afgørelse vil blive indarbejdet i den kommende opdatering. 

De bedste hilsner

Redaktionen
v/ Catrine Søndergaard Byrne, 
Partner, advokat, CIPP/E
Labora Legal

Bestil Persondata

BASIS
PREMIUM
Trykt håndbog
 
 
Online håndbog
 
 
Årligt kursus
 
 
Opdateringer
 
 
Q&A
 
 
Pris 4480,- 4980,-
  Bestil Bestil

Alle priser er ekskl. moms

Referencer

Vi er stolte af vores kundeliste, der dækker en bred vifte af private, små og store virksomheder samt offentlige institutioner. Er du endnu ikke kunde, kan du læse mere om, hvordan vi kan hjælpe dig

  • Novo Nordisk
  • Genmab
  • Maersk Broker
  • Nordea
  • Pandora
  • Grundfos
  • Arla Foods
  • Den Kongelige Civilliste
  • Region Hovedstaden
  • Aarhus Kommune
  • Sygeforsikringen Danmark
  • Det Kongelige Teater
  • CBS
  • 3F
  • Bogholderi Hjørnet
  • Strates Maskinfabrik
  • Legro Gartneri
  • Fleggaard
  • 3x53 Transport
  • Tivoli
  • ...med flere