Safe Harbor-dommen og dens konsekvenser

03 december 2015

Siden den banebrydende Safe Harbor-dom har der efterfølgende været stor aktivitet inden for EU og i USA for at få overblik over dommen og dens konsekvenser. På grund af dommens karakter står de europæiske lande med en udfordring i forhold til at håndtere, hvordan overførsel af personoplysninger skal ske i fremtiden. Nedenfor fremgår en opsummering af nogle af de vigtige begivenheder der har fundet sted, siden Safe Harbor- dommen blev afsagt.

(Læs mere om Safe Harbor-dommen her: http://www.twobirds.com/da/news/articles/2015/denmark/doedsstoedet-til-safe-harbor-ordningen)

Udtalelse fra Datatilsynet

Det danske Datatilsyn er kommet med en udtalelse på baggrund af Safe Harbor dommen. Datatilsynets udtalelse kommer på baggrund af det møde som Artikel 29-gruppen den 15. oktober 2015 afholdte. Artikel 29-gruppen består af en repræsentant for den eller de datatilsynsmyndigheder, som hver medlemsstat har udpeget. I denne forbindelse har Datatilsynet fremhævet de, ifølge dem, vigtige budskaber, der følger af Artikel 29-gruppens møde:

  • Det er nødvendigt, at de europæiske datatilsyn har en fælles tilgang til implementeringen af dommen fra EU-Domstolen.
  • Massiv og diskriminerende overvågning (indsamling af oplysninger om EU-borgere) er ikke foreneligt med EU’s databeskyttelsesregler, og de eksisterende overførselsgrundlag er ikke løsningen i forhold til denne problemstilling.
  • Medlemsstaterne og de europæiske institutioner bør hurtigst muligt indlede drøftelser med de amerikanske myndigheder med henblik på at finde juridiske og tekniske løsninger, der kan muliggøre overførsler til USA med respekt for de fundamentale rettigheder i forhold til databeskyttelse.
  • Artikel 29-gruppen vil fortsætte med at analysere konsekvenserne af dommen i relation til de øvrige overførselsgrundlag, herunder Kommissionens standardkontrakter og Binding Corporate Rules.
  • Imens Artikel 29-gruppen foretager ovennævnte analyse, vil Kommissionens standardkontrakter og Binding Corporate Rules som udgangspunkt fortsat kunne benyttes som overførselsgrundlag.
  • Hvis der med udgangen af januar 2016 ikke er fundet en hensigtsmæssig løsning med de amerikanske myndigheder, vil de europæiske datatilsyn – afhængigt af udfaldet af de fortsatte analyser af de øvrige overførselsgrundlag – foretage de nødvendige og hensigtsmæssige håndhævelsesforanstaltninger.

Yderligere afslutter Datatilsynet med at konkludere, at danske myndigheder og virksomheder, der tidligere har fået en tilladelse fra Datatilsynet til at overføre personoplysninger på grundlag af Safe Harbor-ordningen, ikke længere kan støtte ret på denne tilladelse.

Anbefalingen fra Datatilsyner er fremover den, at oplysninger ikke kan overføres til amerikanske virksomheder, før der er etableret et nyt overførselsgrundlag, fx Kommissionens Standardkontrakter, Binding Corporate Rules eller samtykke fra det enkelte datasubjekt.

Du kan finde hele udtalelsen fra Datatilsynet her.

Holdningstilkendegivelse fra de tyske datatilsyn

De tyske datatilsyn er også udkommet med deres holdning til Safe Harbor-dommen. På flere punkter er de tyske myndigheders tilgang til dommen noget mere drastisk end det danske Datatilsyns. De vigtigste punkter er som følger:

  • De tyske datatilsyn vil fremover stoppe alle dataoverførsler til USA, såfremt disse er baseret på Safe Harbor.
  • De tyske datatilsyn vil ikke udstede nogen nye autorisationer til overførsler til USA baseret på Binding Corporate Rules ("BCR"), i det mindste ikke indtil slutningen af januar 2016.
  • Samtykke forbliver en mulig metode til lovligt at overføre data, dog kun i nogle tilfælde (ikke muligt ved gentagne overførsler, rutinemæssige overførsler eller ved store mængder data).
  • Medarbejder-samtykke kan kun i exceptionelle tilfælde lovliggøre overførsler.
  • De tyske datatilsyn anmoder desuden EU-kommissionen om at fremskynde forhandlingerne med den amerikanske regering omkring opnåelsen af et tilstrækkeligt beskyttelsesniveau, der implementerer kriterierne fra Schrems afgørelsen.

De tyske datatilsyns udtalelser, særlig den omkring tilbageholdelse af autorisationer baseret på BCR, har resulteret i en del efterfølgende spørgsmål og forvirring. En nærlæsning af Safe Harbor dommen fastslår nemlig, at BCR og Kommissionens standardkontrakter i princippet forbliver gyldige metoder til at sikre et tilstrækkeligt sikkerhedsniveau, hvorfor deres tilbageholdenhed overfor udstedelsen af autorisationer til disse kan undre. Det bør i denne sammenhæng nævnes, at det faktisk tilfalder de nationale datatilsyn at analysere eksisterende overførsler og muligheden for at tilbageholde autorisationer til nye BCR'er i forbindelse med overførsler til USA.

Du kan finde hele udtalelsen fra de tyske datatilsyn her.

Amerikansk "paraplyaftale"

Den 8. september 2015 blev der fremlagt forslag om en rammeaftale – en såkaldt paraplyaftale - hvorefter EU borgere vil kunne opnå en lang række rettigheder, når deres personoplysninger overføres til USA i forbindelse med en efterforskning. Den 23. oktober 2015 blev forslaget vedtaget i Repræsentanternes Hus i USA. Aftalen vil medføre at EU- borgere vil opleve et niveau af ligebehandling ved de amerikanske domstole, som tidligere ikke har været tildelt ikke-amerikanere. Europæere vil som følge heraf, på lige fod med amerikanere, være i stand til at efterprøve krænkelser af privatlivets fred ved de amerikanske domstole. Rammeaftalen vedrører ikke hjemlen til dataoverførsler til USA og vedrører derfor ikke direkte konsekvenserne af Safe Harbor-dommen, om end den er med til at forstærke EU- borgeres retstilling i USA.

Microsofts mur

Microsoft melder sig nu på banen med en virksomhedsmodel, der er en klar konsekvens af den amerikanske overvågning af europæisk data og Safe Harbor-dommen. Microsoft er gået sammen med Deutsche Telecom om, at bygge to datacentre, som vil sikre, at kundernes data forbliver i Europa, og at adgangen til dataene kun sker i overensstemmelse med tysk lovgivning, som er notorisk skrap, når det kommer til privatlivets fred. Det er Microsofts tanke, at dataene på denne måde vil være stort set umulige for amerikanske myndigheder at skaffe sig adgang til. Dette nye tiltag forventes tilgængeligt for kunder i anden halvdel af 2016.

Ny aftale inden deadline

USA og Europa er i fuldt gang med at forhandle nye sikre metoder til at overføre data til USA på plads, udtaler EU-kommissæren for retlige anliggender, forbrugerpolitik og ligestilling,

Věra Jourová. Hun udtaler yderligere, at hun er sikker på at begge aftaleparter, USA og EU, vil komme frem til en løsning inden den 31. januar 2016. Virksomheder og myndigheder påvirket af følgerne af Safe Harbor-dommen kan derfor forhåbentlig se frem til en løsning på området inden længe.