• Faglig nyhed
  • 07. oktober 2015

Safe Harbor-ordningen erklæret ugyldig – hvad nu?

Overførsler af personoplysninger til USA kan ikke længere ske på grundlag af Safe Harbor-certificering. 

EU-Domstolens afgørelse
EU-Domstolen erklærede ved dom af 6. oktober 2015 Safe Harbor-ordningen ugyldig. EU-Domstolens begrundelse var, at ordningen ikke sikrer et tilstrækkeligt beskyttelsesniveau i forhold til kravene i persondatadirektivet (og persondataloven), når der overføres oplysninger fra EU til USA.

Dommen betyder, at alle europæiske virksomheder, der indtil nu har baseret deres overførsel af personoplysninger til databehandlere og dataansvarlige i USA på Safe Harbor-ordningen, ikke fremadrettet kan anvende dette grundlag.

Som følge af afgørelsen er der fastsat et møde mellem de europæiske datatilsyn og Kommissionen i Bruxelles den 8. oktober 2015 med henblik på at etablere en koordineret tilgang til dommen og dens konsekvenser.

Bech-Bruun anbefaler
Med afsæt i EU-Domstolens afgørelse anbefaler vi, at virksomheder danner sig et overblik over virksomhedens datastrømme mellem EU og USA, både eksternt og internt på koncernniveau. Herefter bør virksomheden identificere, hvilke overførsler til USA, der baserer sig på Safe Harbor-ordningen samt vurdere, hvorvidt disse overførsler fortsat kan opretholdes på et andet allerede eksisterende grundlag, fx samtykke. Hvis dette ikke er tilfældet, skal virksomheden etablere et nyt grundlag for overførslen, eksempelvis Kommissionens standardkontrakter for henholdsvis dataansvarlige og databehandlere.

Bech-Bruun kan naturligvis være behjælpelig med at identificere relevante datastrømme samt etablere et alternativt overførselsgrundlag.

Kontakt advokat Marie Albæk Jacobsen eller persondataspecialist Charlotte Bagger Tranberg, hvis du har spørgsmål til konsekvenserne af EU-dommen eller har spørgsmål omkring persondata.

Grundlaget for overførsel af oplysninger ud af EU
EU har siden vedtagelsen af persondatadirektivet i 1995 haft en af de mest restriktive reguleringer vedrørende behandling af personoplysninger globalt set. Persondatadirektivet (og persondataloven) indeholder derfor bestemmelser om, at overførsel af personoplysninger ud af EU kræver et særskilt overførselsgrundlag, eksempelvis samtykke fra den person, som oplysningerne vedrører. Det er dog medmindre overførslen sker til et land, der sikrer et tilstrækkeligt niveau for beskyttelse af de overførte personoplysninger. Sidstnævnte har indtil nu bl.a. kunnet ske ved anvendelse af én af Kommissionens standardkontrakter for overførsel af oplysninger eller på grundlag af Safe Harbor-ordningen, hvis overførslen vedrørte amerikanske virksomheder.

Den 6. oktober 2015 afsagde EU-Domstolen en skelsættende dom, som erklærede den ene af disse grundlag for overførsel af personoplysninger ugyldig - nemlig Safe Harbor-ordningen. EU-Domstolens begrundelse var, at ordningen ikke sikrer et tilstrækkeligt beskyttelsesniveau i forhold til kravene i persondatadirektivet (og persondataloven), når der overføres oplysninger fra EU til USA. Dommen betyder, at alle europæiske virksomheder, som indtil nu har baseret deres overførsel af personoplysninger til databehandlere og dataansvarlige i USA på Safe Harbor-ordningen, ikke fremadrettet kan anvende dette grundlag.

Baggrunden for Safe Harbor-ordningen
Mange danske og europæiske virksomheder og myndigheder har siden 2000 overført personoplysninger til dataansvarlige og databehandlere i USA via Safe Harbor-ordningen. I 2000 traf EU-Kommissionen en beslutning om, at dataoverførsler til USA ville være tilladt under den såkaldte Safe Harbor-ordning. Kommissionen fandt, at virksomheder underlagt Safe Harbor-ordningen sikrede et tilstrækkeligt beskyttelsesniveau for behandling af personoplysninger. Derudover skulle vedtagelsen af persondatadirektivet sikre, at det var forholdsvist gnidningsløst at overføre personoplysninger fra europæiske virksomheder til amerikanske virksomheder, som var Safe Harbor-certificeret.

Safe Harbor-ordningen er en selv-certificeringsordning, hvor de tilsluttede amerikanske virksomheder (både databehandlere og dataansvarlige) underlægger sig principperne i ordningen og dermed bliver anset for at kunne ”sikre et tilstrækkeligt beskyttelsesniveau” i forhold til overførsel af personoplysninger fra EU.

Safe Harbor-ordningen har i flere omgange været udsat for kritik, senest i forbindelse med Snowden-affæren i sommeren 2013, hvor det kom frem af de lækkede dokumenter, at ca. 25 % af de virksomheder, som var certificeret i henhold til ordningen, blot var proforma-certificeret.

Schrems-sagen
EU-Domstolen fik i 2014 anledning til at tage stilling til lovligheden af Safe Harbor-ordningen i den såkaldte Schrems-sag. Her henvendte den østrigske statsborger Maximilian Schrems sig til det irske datatilsyn for at få Facebook i Irland til at stoppe overførslen af oplysninger om ham til Facebook i USA på grundlag af Safe Harbor-ordningen. Schrems ønskede ikke, at de amerikanske myndigheder havde mulighed for at tilgå oplysninger om ham uden hans viden. Det irske datatilsyn mente ikke, at det var muligt at nedlægge et sådan forbud, fordi Kommissionens beslutning om Safe Harbor-ordningen ikke kunne underkendes af et nationalt datatilsyn.

EU-Domstolen kom dog frem til et andet resultat end det irske datatilsyn. Ifølge EU-Domstolen er nationale datatilsyn også bemyndigede til at behandle en anmodning fra en person i situationer, hvor EU-Kommissionen har vedtaget en beslutning om, at det tilstrækkelige beskyttelsesniveau for behandling af personoplysninger er sikret, såfremt virksomheden er omfattet af Safe Harbor-ordningen.

Som det er nævnt ovenfor, kom EU-Domstolen imidlertid også frem til, at Safe Harbor-ordningen ikke sikrer et tilstrækkeligt beskyttelsesniveau for de oplysninger, som overføres på grundlag af ordningen.  EU-Domstolen lagde bl.a. til grund, at amerikanske myndigheder har mulighed for at overtrumfe beskyttelsen i Safe Harbor-ordningen af hensyn til eksempelvis statens sikkerhed. Det er muligt, fordi der ikke er indbygget en effektiv domstolsbeskyttelse i ordningen, og fordi behandlingen af personoplysninger i Safe Harbor-ordningen går videre end det strengt nødvendige.

Konsekvensen af dommen i Schrems-sagen
Konsekvensen af dommen i Schrems-sagen er, at de overførsler, som hidtil har været baseret på Safe Harbor-ordningen, ikke længere er gyldige, medmindre nationale tilsynsmyndigheder specifikt har godkendt dem, eller overførslerne kan basere sig på et af de øvrige tilladte grundlag, fx samtykke.

Globale koncerner, der har baseret den interne overførsel af fx HR-oplysninger fra europæiske datterselskaber til et amerikansk moderselskab på Safe Harbor-ordningen, skal fremadrettet basere overførslen på et andet grundlag, fx EU-Kommissionens standardkontrakter. Tilsvarende skal europæiske selskabers overførsel af personoplysninger til amerikanske datacentre (databehandlere) underlagt Safe Harbor-ordningen, fremadrettet baseres på EU-Kommissionens standardkontrakt for databehandlere.

Virksomheder bør i første omgang fokusere på at skabe et overblik over, hvilke af virksomhedens konkrete overførsler, der er baseret på Safe Harbor-ordningen. Dette gælder både i forhold til dataansvarlige og databehandlere, herunder også underdatabehandlere længere ude i behandlingskæden.

Herefter bør det vurderes, hvilket andet grundlag det er optimalt at basere overførslen af personoplysninger på. Hvis der er tale om få oplysninger, kan det være hensigtsmæssigt at indhente et samtykke til overførslen fra de berørte personer. Er der derimod tale om personoplysninger fra mange personer, bør overførslen baseres på én af EU-Kommissionens standardkontrakter. I den forbindelse skal det bemærkes, at det afhænger af den enkelte medlemsstats lovgivning, om en overførsel baseret Kommissionens standardkontrakter skal godkendes af de nationale tilsynsmyndigheder. Det danske datatilsyn skal fx ikke længere godkende overførsler baseret på Kommissionens standardkontrakter, mens det er tilfældet i mange andre EU-lande.

EU-Kommissionen og det amerikanske handelsministerium har igennem de seneste par år forhandlet om en revideret Safe Harbor-ordning. Det må derfor forventes, at denne proces speedes op efter EU-Domstolens afgørelse i Schrems-sagen. Dog kommer der formentlig til at gå noget tid, inden amerikanske virksomheder igen kan underlægge sig en ordning svarende til Safe Harbor-ordningen, fordi kravene til virksomhederne alt andet lige vil blive mere restriktive i en ny ordning. En mere restriktiv ordning er nemlig med til at sikre, at der faktisk er tale om et tilstrækkeligt beskyttelsesniveau for overførsel af oplysninger.

Kontakt persondataspecialist Charlotte Bagger Tranberg eller advokat Marie Albæk Jacobsen, hvis du har spørgsmål til konsekvenserne af Safe Harbor-ordningens ugyldighed.

Emneord
  • København

    Langelinie Allé 35
    2100 København Ø

  • Aarhus

    Værkmestergade 2
    8000 Aarhus C

  • Shanghai, repræsentationskontor

    No.1440 Yan'an Middle Road, Suite 2H08
    Jing'an District, 200040 Shanghai

  • Bech-Bruun Advokatpartnerselskab

    T +45 72270000
    F +45 72270027
    E info@bechbruun.com
    CVR-nummer 38 53 80 71
    Cookie-politik
    Legal Notice and Disclaimer
    Privatlivspolitik