Schrems II: Nye anbefalinger fra EDPB og nye standardkontrakter fra EU-Kommissionen

EU-Domstolens afgørelse i Schrems II efterlod en række spørgsmål om, hvornår man lovligt kan overføre personoplysninger til usikre tredjelande, f.eks. ved brug af EU-Kommissionens standardkontrakter. EDPB har nu offentliggjort anbefalinger, som giver svar. Samtidig har EU-Kommissionen offentliggjort nye standardkontrakter. På vores gratis webinar den 27. november 2020 kan du blive opdateret på seneste nyt.

EU-Domstolens afgørelse i Schrems II efterlod en række spørgsmål om, hvornår man lovligt kan overføre personoplysninger til usikre tredjelande, f.eks. ved brug af EU-Kommissionens standardkontrakter. EDPB har nu offentliggjort anbefalinger, som giver svar. Samtidig har EU-Kommissionen offentliggjort nye standardkontrakter. På vores gratis webinar den 27. november 2020 kan du blive opdateret på seneste nyt.

Schrems II-dommens udfordringer

I den skelsættende dom i sag C-311/18 (Schrems II) fastslog EU-Domstolen, at beskyttelsen af personoplysninger i EU følger med over landegrænserne, når personoplysninger overføres til lande uden for EU/EØS (tredjelande). De registrerede skal med andre ord ikke tåle en ringere beskyttelse af deres personoplysninger, fordi dataene overføres til tredjelande. Domstolen fastslog, at beskyttelsen af personoplysninger i det modtagende tredjeland ikke behøver at være identisk med beskyttelsen i EU. Men den skal i det væsentlige svare til, hvad der følger af databeskyttelsesforordningen læst i lyset af EU’s Charter om grundlæggende rettigheder.

Det betyder, at dataansvarlige eller databehandlere, der eksporterer personoplysninger til tredjelande – f.eks. ved brug af EU-Kommissionens standardkontrakter – skal undersøge, om modtagerlandets lovgivning yder et tilstrækkeligt beskyttelsesniveau. Dette skal ske efter en konkret vurdering fra sag til sag.

Hvis ikke modtagerlandets beskyttelse er tilstrækkelig, åbner Domstolen dog op for, at eksportørerne af personoplysninger kan fastsætte ”supplerende foranstaltninger”, så hullerne i beskyttelsen lukkes og der opnås en beskyttelse på niveau med EU’s lovgivning.

Udfordringen er, at Domstolen i dommen ikke nærmere specificerer, hvad disse supplerende foranstaltninger kan være. Men nu er der svar fra EDPB.

EDPB’s anbefalinger om supplerende foranstaltninger

EDPB har den 10. november 2020 derfor offentliggjort anbefalinger om supplerende foranstaltninger, som henvender sig til dataeksportører i EU, dvs. både dataansvarlige og databehandlere, private virksomheder og offentlige myndigheder, der overfører personoplysninger til tredjelande.

Formålet med anbefalingerne er at hjælpe dataeksportørerne i EU med dels at vurdere, om et tredjeland yder et tilstrækkeligt beskyttelsesniveau, dels at fastsætte relevante supplerende foranstaltninger, hvis dette ikke er tilfældet.

EDPB’s anbefalinger indeholder en 6-trins guide (road map) til dataeksportørers håndtering af internationale overførsler, som kan findes her, og som indebærer følgende trin:

  1. Få et overblik over alle dataoverførsler.
  2. Sørg for at have et lovligt overførselsgrundlag efter databeskyttelsesforordningens kap. V.
  3. Undersøg modtagerlandets lovgivning og praksis med henblik på at vurdere, om der i forhold til den konkrete overførsel er mulige hindringer for en effektiv beskyttelse af personoplysningerne.
  4. Identificér og udvælg supplerende foranstaltninger, hvis resultatet af ovennævnte vurdering viser, at modtagerlandet ikke giver den tilstrækkelige beskyttelse.
  5. Implementér mulige supplerende foranstaltninger, herunder foretag forhandling med kontraktparter og opnå godkendelse fra Datatilsynet ved brug af ad hoc aftaler, der afviger fra standardkontrakterne.
  6. Revurdér løbende beskyttelsesniveauet og gennemfør tilsyn med mulige forandringer, der kan påvirke beskyttelsen.

Datatilsynet må forventes at føre tilsyn med, om dataeksportørerne har anvendt ovennævnte 6-trins guide og dokumenteret deres vurderinger. I overensstemmelse med Schrems II-dommen er Datatilsynet forpligtet til – f.eks. som følge af en klage eller en sag af egen drift – at suspendere eller forbyde en international overførsel, hvis dataeksportøren ikke kan godtgøre, at der sikres det fornødne beskyttelsesniveau.

Anbefalingerne vedrørende de supplerende foranstaltninger er sendt i offentlig høring frem til den 30. november, og kan derfor ændre sig.

Fire essentielle garantier

EDPB har tillige sammenfattet fire essentielle garantier i et andet sæt anbefalinger (”Recommendations 2/2020”). Disse anbefalinger skal ses som kerneelementer i vurderingen af, hvorvidt den nationale lovgivning i et tredjeland tilbyder et beskyttelsesniveau, der i det væsentligste svarer til niveauet garanteret i EU. Dataeksportørerne kan med andre ord anvende disse anbefalinger i skridt nr. 3 ovenfor.

Anbefalingerne er endeligt vedtaget og udgør en opdatering af den tidligere Artikel 29-gruppes WP237 om de europæiske essentielle garantier.

Nye standardkontrakter i høring

EU-Kommissionen har offentliggjort et udkast til nye standardkontraktbestemmelser for overførsel af personoplysninger til tredjelande.

De nye standardkontraktbestemmelser indeholder flere moduler, der kan bruges af dataeksportører afhængigt af, hvorledes der sker overførsel ud af EU:

  1. Dataansvarlig-til-dataansvarlig
  2. dataansvarlig-til-databehandler
  3. databehandler-til-databehandler
  4. databehandler-til-dataansvarlig.

Det er meningen, at disse fire sæt standardkontraktbestemmelser skal erstatte de eksisterende tre sæt standardkontraktbestemmelser. De skal også ses som et forsøg på – i lyset af Schrems II-dommen – at bidrage til, at dataeksportørerne kan opnå det fornødne beskyttelsesniveau af personoplysningerne, der overføres til tredjelande.

De nye standardkontraktbestemmelser er sendt i offentlig høring indtil 10. december 2020 på Kommissionens hjemmeside. De forventes endeligt vedtaget i begyndelsen af ​​2021.

TILMELD DIG VORES NYHEDSBREVE

Her kan du tilmelde dig ét eller flere af vores faglige nyhedsbreve, som har fokus på den nyeste udvikling inden for netop det område, som du er interesseret i.