Mange virksomheder benytter i dag EU/US Privacy Shield-ordningen, når de overfører personoplysninger fra EU til USA. Men denne ordning er ophørt som gyldigt overførselsgrundlag efter en EU-dom afsagt den 16. juli 2020. Derfor bør du gennemgå dine dataoverførsler, hvis du som dataansvarlig overfører personoplysninger til usikre tredjelande udenfor EU.
Dommens indhold og betydning
EU-domstolen fastslår, at:
- Virksomheder ikke længere kan anvende Privacy Shield-ordningen som overførselsgrundlag.
- EU-kommisionens standardkontrakter (SCCs) fortsat er gyldige, når de giver et beskyttelsesniveau, som svarer til niveauet i EU.
For dataansvarlige betyder det, at:
- Alle tredjelandsoverførsler bør gennemgås, så overførselsgrundlagene kan fastlægges. Bruges Privacy Shield-ordningen, skal der etableres et nyt og gyldigt grundlag.
- Den dataansvarlige i EU skal foretage en konkret vurdering sammen med den dataansvarlige/databehandleren udenfor EU, hvis EU-kommissionens standardkontrakter benyttes som overførselsgrundlag. Vurderingen skal gå på, om den dataansvarlige/databehandleren udenfor EU kan efterleve standardkontrakternes krav indenfor den lovgivning i landet, som oplysningerne overføres til. Er det ikke muligt, skal dataoverførslerne suspenderes.
Dommens baggrund
Dommen om Privacy Shield-ordningen er kommet som følge af en klage over Facebook Irlands overførsel af persondata til Facebook Inc. i USA. Manden bag klagen mente ikke, at hans personoplysninger var sikret beskyttelse efter EU-standarder, når de blev overført til USA ved Privacy Shield.
Domstolens afgørelse udspringer blandt andet af, at de amerikanske myndigheder i overensstemmelse med amerikansk lovgivning kan foretage masseovervågning på en måde, som ikke lever op til kravene for persondatabeskyttelse i EU.
Du kan læse mere om dommen på Datatilsynets hjemmeside.
Få hjælp til at sikre tredjelandsoverførsler
Hos ADVODAN har vi en række specialister i GDPR, som står klar med rådgivning til virksomheder, der overfører oplysninger til tredjelande. Vi kan hjælpe med:
- At gennemgå dataoverførsler for, om de er baseret på Privacy Shield-ordningen eller EU’s standardkontrakter.
- At sikre et gyldigt overførselsgrundlag, hvor det er muligt (hvor det ikke er muligt, skal overførslen ophøre, eller der skal skiftes databehandler).
- At opdatere virksomhedens dokumentpakke, dvs. oplysningsdokumenter over for de registrerede interne politikker mv.
Har du brug for rådgivning om persondata?
0 kommentar