Indledning

EU-Domstolen har den 6. oktober 2015 konkluderet, at Safe Harbor-ordningen er i strid med Databeskyttelsesdirektivet. Domstolen begrundede afgørelsen med, at ordningen ikke tilsikrede et beskyttelsesniveau i overensstemmelse med Databeskyttelsesdirektivet ved overførsel af persondata til tredjelande uden for EU/EØF. Dommen betyder, at europæiske virksomheder, som overfører persondata til USA, fremover må foretage overførslerne på et andet retligt grundlag.

Baggrund

Det følger af Databeskyttelsesdirektivet, at persondataoverførsel til lande uden for EU/EØS som udgangspunkt kun må ske, hvis tredjelandet i henhold til lovgivning og praksis har en beskyttelse af persondatahåndteringen, der svarer til beskyttelsen efter Databeskyttelsesdirektivet.

Safe Harbor-ordningen blev indført i år 2000 ved EU-Kommissionens beslutning 2000/520/EF som en særlig ordning til overførsel af persondata fra EU/EØS til USA. Amerikanske virksomheder, der tilmeldte sig ordningen, forpligtede sig til at overholde en række databeskyttelsesmæssige principper, og Safe Harbor fungerede derfor som en form for forhåndsgodkendelse, hvorefter virksomhederne blev anset for at have et tilstrækkeligt beskyttelsesniveau til behandling af persondata. Safe Harbor-certificerede virksomheder kunne herefter frit modtage persondata fra EU, og europæiske virksomheder kunne derfor overføre persondata til sådanne virksomheder.

EU-Domstolens afgørelse af 6. oktober 2015

Sagen, som EU-Domstolen skulle tage stilling til, omhandlede en østrigsk statsborger, som indgav en klage til den irske datatilsynsmyndighed angående Facebooks overførsel af persondata fra EU til amerikanske servere. Han påstod, at Facebook ikke havde sikret en tilstrækkelig beskyttelse af hans persondata under henvisning til Edward Snowdens afsløringer af NSA.

Den irske datatilsynsmyndighed afviste klagen, og klageren anlagde herefter sagen for den irske High Court (øverste retsinstans), hvor han rejste spørgsmål om Safe Harbor-ordningens gyldighed. High Court forelagde herefter spørgsmålet for EU-Domstolen.

EU-Domstolen fandt, at EU-Kommissionen ved beslutningen 2000/520/EF havde overskredet sin bemyndigelse ved at begrænse de nationale tilsynsmyndigheders muligheder for at undersøge beskyttelsesniveauet.

EU-Domstolen fastslog endvidere, at USA ikke faktisk sikrede et tilstrækkeligt beskyttelsesniveau igennem national lovgivning og internationale forpligtelser, hvorfor Domstolen erklærede Safe Harbor-ordningen ugyldig.

Vores vurdering

Danske virksomheder, der i dag overfører data fra EU til US i henhold til Safe Harbor-ordningen, vil være nødsaget til at overveje den fremadrettede persondataoverførsel for at sikre, at overførslerne sker i overensstemmelse med Databeskyttelsesdirektivet.

Afgørelsen betyder reelt, at virksomhederne fremover må basere deres persondataoverførsler på andet grundlag, f.eks. ved Kommissionens Standard Contractual Clauses eller Binding Corporate Rules.

Vi anbefaler, at virksomheder fremadrettet anvender EU-Kommissionens Standard Contractual Clauses, som er en individuel bindende standardkontrakt for overførsel af persondata til virksomheder i lande, som ikke har et tilstrækkeligt beskyttelsesniveau. Standardkontrakten er godkendt af EU-Kommissionen.

For globale koncernforbundne selskaber kan overførslen af persondata internt i koncernen alternativt finde sted ved indførelsen af de såkaldte Binding Corporate Rules. Reglerne regulerer koncerninterne virksomheders behandling og overførsler af persondata over hele verden.

Virksomheder har i øvrigt altid mulighed for at indhente et udtrykkeligt samtykke fra den registrerede til at foretage overførslen fra EU til USA.