Nyt om Privacy Shield

Der faldt i sommer dom ved EU-Domstolen i den såkaldte Schrems II sag om overførsel af personoplysninger til lande uden for EØS-samarbejdet. En af de væsentligste konklusioner i sagen er, at Privacy Shield-afgørelsen, som har stor betydning for overførsel af persondata til USA, er ugyldig.
Staten sætter øget fokus på GDPR – er din virksomhed klar?

Det har selvsagt skabt megen usikkerhed, men heldigvis er der en smule hjælp at hente i to dokumenter, som det Europæiske Databeskyttelsesråd har vedtaget den 10. november i år. De to dokumenter indeholder anbefalinger om…

  • 4 væsentlige europæiske garantier
  • supplerende foranstaltninger

Garantierne er endeligt vedtaget, mens de supplerende foranstaltninger skal i offentlig høring inden den endelige vedtagelse. Derfor gennemgår vi her kun de 4 garantier.

Hvordan sikres GDPR i tredjelande?

EU kommissionen opfordrer alle tredjelande inkl. USA (og måske også snart Storbritannien) til at leve op til nedenstående garantier, hvis de ønsker at udveksle persondata med lande i EU. Samtidig kan EU Kommsissionen dog ikke garantere, at et land som fx USA har en lovgivning, der allerede opfylder de 4 garantier.

Det betyder i praksis, at I som virksomhed selv skal afgøre, dels om I selv vil følge anbefalingerne, dels om I vurderer anbefalingerne for overholdt i lovgivningen i et tredjeland som fx USA. Det er en svær vurdering at foretage for den enkelte virksomhed, og vi håber derfor, at Datatilsynet snart kommer ud med en yderligere afklaring.

Helt konkret drejer det sig om følgende fire punkter.

1. Der skal være klare, præcise og tilgængelige regler

Den første væsentlige garanti kræver, at behandling af persondata baseres på en lovgivning med klare, præcise og tilgængelige regler. Som fx overvågning i det pågældende tredjeland.

Det skal være en lovgivning, der beskriver de konkrete formål med lovgivningen, ligesom overvågning kun må ske med den berørte persons samtykke eller et andet legitimt grundlag, fastlagt ved lov.

Loven skal desuden beskrive både rækkevidde og anvendelse af ​​den konkrete overvågning,  samt indeholde minimumsgarantier, definitioner af de personkategorier, der kan overvåges samt grænser for overvågningens varighed. Desuden skal procedurer for undersøgelse samt brug og opbevaring af de pågældende data beskrives, ligesom det skal defineres, hvilke forholdsregler, der skal træffes, når data videregives til tredjepart.

Sidst skal overvågningen være forudsigelig ift. dens virkning for den enkelte for at beskytte mod uretmæssig indblanding og misbrug. Loven skal med andre ord tydeligt forklare under hvilke omstændigheder og på hvilke betingelser, offentlige myndigheder kan overvåge den enkelte.

2. Der skal være proportionalitet mellem mål og midler

Det skal afvejes, hvor vidt en begrænsning af privatlivets fred (herunder databeskyttelse) er proportional med samfundets overordnede interesse i at imødegå eksempelvis terror. Privatlivets fred kan nemlig kun begrænses, hvis det er absolut nødvendigt af hensyn til den almene interesse, herunder at beskytte andres rettigheder og friheder.

Det betyder, at lovgivning i et tredjeland, der ikke sikrer den fornødne personlige sikkerhed, dermed heller ikke lever op til den garanti, der kræves. Det gælder, hvis der ikke er tilstrækkelig proportionalitet mellem overvågning og rettigheder, ligesom det også omfatter lovgivning uden begrænsning i hverken opbevaring eller behandling af persondata overført fra EU.

Ligesom indenfor den aktuelle debat omkring epidemilovgivningen, skal der også her være en såkaldt ”solnedgangsklausul”.

3. Der skal være et troværdigt tilsyn

Der skal være et effektivt, uafhængigt og upartisk tilsynssystem, der kan sikre retten til privatliv, herunder beskyttelse af persondata. Det kan fx være en dommer eller et organ à la det danske Datatilsyn.

Men det er ikke nok bare at have et sådant tilsyn. Det skal også sikres, at tilsynets drift inkl. kontrol og magtbalance er på plads. Det anses dog for acceptabelt, at en overvågende myndighed i berettigede hastesager først inddrager tilsynet efter en given overvågning. Men det kræver, at tilsynet informeres kort efter.

4. Der skal være en uvildig klagemulighed

Den sidste væsentlige garanti handler om, at enhver skal have mulighed for at klage og få sikret sine rettigheder, hvis vedkommende føler, at de er blevet overtrådt.

Det gælder fx trafik- og lokaliseringsdata i realtid, hvor de registrerede personer skal vide, at de pågældende data indsamles. Her gælder det dog også, at samles der ind til kritiske myndighedsopgaver er det i orden, at underretningen tilpasses i omfang og tid, så den ikke risikerer at bringe selve opgaven i fare.

Klager kan fx indsendes til en domstol eller et andet upartisk organ. Disse skal dog opfylde en række kriterier omkring uafhængighed, der skal sikres med alle nødvendige garantier fra den udøvende magt. Desuden må klageren ikke pålægges en bevismæssig byrde for at indgive en klage.

Så hvad betyder det?

Deler I persondata med tredjelande lægger den aktuelle dom derfor aktuelt op til to grundlæggende scenarier, I skal forholde jer til.

Hvis garantierne er mangelfulde

Hvis det pågældende tredjeland ikke lever op til de 4 garantier, betyder det, at det pågældende land ikke kan tilbyde et sikkerhedsniveau, der matcher niveauet i EU. Her skal I så vurdere, om I ønsker at gå videre, da det kan få alvorlige konsekvenser for jer som virksomhed – og ikke mindst de personer, hvis data I opbevarer.

Hvis alle garantier er opfyldt

Kan det pågældende tredjeland derimod opfylde alle 4 garantier er det op til EU-Kommissionen at vurdere, om sikkerhedsniveauet i det pågældende land matcher niveauet i EU. Her er I på lidt mere sikker grund, men det kræver stadig en vurdering fra EU-Kommissionen, hvis I skal være helt sikre.

Hvad gør I så?

Grundlæggende betyder det, at vi ikke er kommet så meget videre. I hvert fald hvad angår de officielle udmeldinger indtil videre.

I praksis er en stor del af de virksomheder, der er berørt, dog begyndt at bruge Kommissionens standardkontrakter SCC (Standard Contract Clauses) for overførsler til en databehandler eller til en dataansvarlig. I mangel af bedre har de vurderet, at det aktuelt er det bedst mulige grundlag for at komme videre. Mens vi venter på Kommisionen…

___

Denne artikel er skrevet af advokat Wivi H. Larsen (H), Ret&Råd advokaterne Glostrup Ballerup Greve og partner og bestyrelsesformand i Lexoforms A/S.