Udtalelser fra de europæiske datatilsynsmyndigheder på baggrund af Safe Harbor afgørelsen

13 oktober 2015

Tirsdag den 6. oktober 2015 afsagde EU-domstolen sin afgørelse i sagen C-362/14 Maximillian Schrems v Data Protection Commissioner. Den nedenstående oversigt viser de nationale datatilsynsmyndigheders efterfølgende udtalelser fra hver af de jurisdiktioner, som Bird & Bird er etableret i.


Danmark

Myndighed: Datatilsynet

Dato: -

Link: -

Sprog: -

Kort resumé: Datatilsynet i Danmark har endnu ikke lavet en officiel udmelding.

Datatilsynet har udtalt, at de ikke vil komme med en udmelding før efter det fælles møde mellem de nationale myndigheder i næste uge. De anbefaler, at man ikke sender anmeldelser, hvor overførsler er baseret på Safe Harbor indtil efter mødet.


Belgien

Myndighed: Commission de la Protection de la Vie Privée (På dansk: Kommissionen for Databeskyttelse)

Dato: 6. oktober 2015

Link: http://www.privacycommission.be/fr/La-cour-de-justice-de-lunion-europeenne-sest-prononcee-sur-la-sphere-de-securite

Sprog: Fransk (Også tilgængelig på hollandsk)

Kort resumé: "Kommissionen fastslog kun, at de vil analysere begrundelsen sammen med de andre nationale datatilsyn under mødet med Artikel 29-Gruppen – særligt på baggrund af vigtigheden er koordination vigtig - og de ville herefter vende tilbage med deres afgørelse og mening fredag den 15. oktober."


Tjekkiet

Myndighed: Úřad pro ochranu osobních údajů (på dansk: Kontoret for Databeskyttelse)

Dato: 9. oktober 2015

Sprog: Tjekkisk

Link: https://www.uoou.cz/neplatnost-rozhodnuti-komise-o-tzv-safe-harbor/d-16865/p1=1099

Kort resumé: Den 6. oktober afsagde EU-domstolen en fundamental afgørelse vedrørende internationale dataoverførsler mellem EU og USA. I sagen C-362/14 Maximillian Schrems vs. Data Protection Commissioner afgjorde CJEU, at Kommissionens beslutning 2000/520, der fastslår, at USA under Safe Harbor proceduren sikrer et tilstrækkeligt beskyttelsesniveau for overført persondata, er ugyldig.  De tjekkiske persondatamyndigheder har i længere tid advaret dataeksportører til USA om, at datamodtageres deltagelse i Safe Harbor ikke faktuelt kan sikre et tilstrækkeligt beskyttelsesniveau i USA, og dette blev ved afgørelsen endelig bekræftet af CJEU.


Finland

Myndighed: Tietosuojavaltuutettu (På dansk: Databeskyttelsesombudsmanden)

Dato: 7. oktober 2015

Link: http://www.tietosuoja.fi/fi/index/ajankohtaista/tiedotteet/2015/10/euntuomioistuinantoipaatoksenliittyensafeharboriin.html

Sprog: Finsk

Kort resumé: De finske persondatamyndigheder har kun lavet en kort udtalelse, hvori de oplyser, at afgørelsen er offentliggjort. På baggrund af et nyligt interview med de finske persondatamyndigheder forventes det, at mere information vil blive fremlagt efter mødet mellem de nationale persondatamyndigheder i næste uge.


Frankrig

Myndighed: CNIL – Commission Nationale de l’Informatique et des Libertés (på dansk: De Franske Persondatamyndigheder)

Dato: 7. oktober 2015

Link: http://www.cnil.fr/linstitution/actualite/article/article/invalidation-du-safe-harbor-par-la-cour-de-justice-de-lunion-europeenne-une-decision-cl/

Sprog: Fransk

Kort resumé: CNIL byder CJEU afgørelsen velkommen som en central afgørelse i forbindelse med persondatabeskyttelse. Ifølge CNIL vil persondatamyndigheder blive nødt til at vurdere lovligheden af de overførsler, som bliver anmeldt til dem, imens de tager det faktum med i overvejelserne, at USA ikke møder det tilstrækkelige beskyttelsesniveau. CNIL vil om kort tid møde de andre nationale datatilsyn ved Artikel 29-Gruppens møde for mere præcist at fastslå de juridiske og operationelle konsekvenser af CJEU's afgørelse vedrørende overførsel af persondata på baggrund af Safe Harbor.

CNIL har også opdateret deres hjemmesides afsnit vedrørende internationale dataoverførsler og udtaler heri, at det ikke længere er muligt at overføre persondata via Safe Harbor (tilgængelig på fransk her: http://www.cnil.fr/vos-obligations/transfert-de-donnees-hors-ue/).


Tyskland

Myndighed: Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (på dansk: Statskommissionen for Databeskyttelse og Informationsfrihed)

Dato: 6. oktober 2015

Link: http://www.bfdi.bund.de/DE/Infothek/Pressemitteilungen/2015/21_EuropaeischerGerichtshofKipptSafeHarbor.html?nn=5217040

Sprog: Tysk

Kort resumé: Statskommissionen for Databeskyttelse og Informationsfrihed byder CJEU's afgørelse velkommen og fastslår, at domstolen har sat en milepæl for databeskyttelse. Derudover understreges det, at afgørelsen styrker de europæiske datamyndigheders gennemslagskraft, og at dataoverførsler til USA fremover må genovervejes i lyset af denne afgørelse. Statskommissionen udtalte, at de nu grundigt vil undersøge og diskutere afgørelsen såvel som konsekvenserne med andre nationale datatilsyn og koordinere de videre skridt.

Andre tyske datatilsyn (fx Berlin, Hamburg og Bayern) har også udsendt pressemeddelelser, som alle byder afgørelsen velkommen (på tysk).

Berlin: http://www.datenschutz-berlin.de/attachments/1149/711.352.1.pdf?1444123845

Hamburg: https://www.datenschutz-hamburg.de/news/detail/article/eugh-kippt-transatlantisches-safe-harbor-abkommen.html

Bayern: https://www.datenschutz-bayern.de/presse/20151007_eugh.html


Ungarn

Myndighed: NAIH - Nemzeti Adatvédelmi és Információszabadság Hatóság (på dansk: Den Ungarske Nationale Myndighed for Databeskyttelse og Informationsfrihed)

Dato: 6. oktober 2015

Link: http://naih.hu/files/2015-10-06-Kozlemeny---Safe-harbor.pdf

Sprog: Ungarsk

Kort resumé: NAIH byder afgørelsen fra CJEU velkommen og understreger, at der er behov for en grundig gennemgang af dataoverførslen til USA. NAIH evaluerer konsekvenserne af afgørelsen og samarbejder med datatilsyn i de andre EU-medlemsstater. Resultatet af dette forventes fremlagt inden for de næste par uger.


Italien

Myndighed: Garante per la protezione dei dati personali (på dansk: Det Italienske Databeskyttelsestilsyn)

Dato: 6. oktober 2015

Link: http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/4308245

Sprog: Italiensk

Kort resumé:

Det Italienske Databeskyttelsestilsyn byder udtrykkeligt CJEU's afgørelse velkommen, siden den, endnu engang, henleder medlemsstaternes opmærksomhed på individets fundamentale rettigheder og behovet for deres beskyttelse, særligt ved dataoverførsler uden for EU. Det Italienske Databeskyttelsestilsyn understreger tydeligt deres negative holdning til tredjelandes tilfældige overvågning og adgang for andre myndigheder, der ikke er bundet af EU's databeskyttelsesregelsæt. Det Italienske Databeskyttelsestilsyn efterspørger reel og konkret beskyttelse af data og fastslår, at det nu er tid til en koordineret indsats på EU- niveau, hvori man identificerer effektive metoder til at nå en fælles holdning og vejledning.


Holland

Myndighed: College bescherming persoonsgegevens (på dansk: Hollands Databeskyttelsestilsyn)

Dato: 6. oktober 2015

Link: https://cbpweb.nl/nl/nieuws/reactie-cbp-op-safe-harbour-uitspraak-europees-hof

Sprog: Hollandsk

Kort resumé: CJEU har erklæret Safe Harbor aftalen imellem de europæiske lande og USA ugyldig. Igennem længere tid har de europæiske datatilsyn været af den holdning, at yderligere sikkerhedsværn var nødvendige, når man overførte persondata til USA. Denne afgørelse understreger endnu engang den store vigtighed ved databeskyttelse, samt at databeskyttelse er en fundamental rettighed. Det er vigtigt, at tilsynene altid kan foretage uafhængige undersøgelser og derved vedligeholde de europæiske borgeres persondataret, når deres data overføres rundt omkring i verden. De europæiske persondatalovgivere skal mødes næste uge og diskutere situationen.


Polen

Myndighed: GIODO – Generalny Inspektor Ochrony Danych Osobowych (på dansk: Generalinspektøren for Databeskyttelse)

Dato: 7. oktober 2015

Link: http://www.giodo.gov.pl/520/id_art/8896/j/pl/ og http://www.giodo.gov.pl/1520123/id_art/8894/j/pl/ (det sidste link er en reference til Artikel 29-Gruppens udtalelse vedrørende afgørelsen)

Sprog: Polsk

Kort resumé: Ifølge en pressemeddelelse fra GIODO er det nødvendigt at have en ensrettet tilgang til CJEU afgørelsen fra alle de nationale datatilsyn. Det er også derfor, at Artikel 29-Gruppen nu skal undersøge konsekvenserne af annulleringen af Kommissionens beslutning vedrørende opnåelsen af et tilstrækkeligt beskyttelsesniveau igennem Safe Harbor programmet.

Pressetalsmanden fra GIODO havde en positiv vurdering af det faktum, at CJEU i afgørelsen fastslog, at databeskyttelse er en integreret del af de fundamentale rettigheder i EU. Som følge af at CJEU's afgørelse vil medføre markante konsekvenser for alle datatilsyn samt for virksomheder, vil Artikel 29-Gruppen afholde et ekstraordinært møde denne uge, som er dedikeret til dette område for at sikre en koordineret analyse af CJEU' og fastslå de første konklusioner vedrørende overførsler af persondata indenfor Safe Harbor ordningen samt via andre metoder (Binding Corporate Rules og standard model clauses).

Det forventes, at Generalinspektøren for Databeskyttelse i Polens officielle standpunkt ved mødet vil blive fremlagt efter dette møde er ovre.


Slovakiet

Myndighed: Office for Personal Data Protection of the Slovak Republic (på dansk: Kontoret for Persondatabeskyttelse i den Slovakiske Republik)

Dato: 8. oktober 2015

Link: http://dataprotection.gov.sk/uoou/sk/content/sudny-dvor-vyhlasil-rozhodnutie-vo-veci-schrems-vs-data-protection-commisioner

Sprog: Slovakisk

Kort resumé: Det slovakiske datatilsyn har kun fremlagt en kort opsummering af CJEU's afgørelse, som er som følger: "Den 6. oktober afsagde CJEU en fundamental afgørelse vedrørende overførslen af persondata mellem EU og USA. I sagen C-362/14 Maximillian Schrems vs. Data Protection Commissioner afgjorde CJEU, at Kommissionens beslutning 2000/520, der fastslår, at USA under Safe Harbor programmet yder et tilstrækkeligt beskyttelsesniveau af overført persondata, er ugyldig."


Spanien

Myndighed: AEPD – Agencia Española de Protección de Datos (på dansk: Spaniens Databeskyttelsesmyndighed)

Dato: 6. oktober 2015

Link: http://www.agpd.es/portalwebAGPD/revista_prensa/revista_prensa/2015/notas_prensa/news/2015_10_06-ides-idphp.php

Sprog: Spansk

Kort resumé: AEPD opsummerer afgørelsen og understreger vigtigheden af nationale datatilsyn til at sikre persondata ikke kun i EU, men også i forbindelse med internationale dataoverførsler. Ifølge AEPD er afgørelsen essentiel i forhold til den måde internationale dataoverførsler til USA foretages, og den styrker vigtigheden af databeskyttelse.

AEPD påpeger, at de europæiske datatilsyn allerede var klar over problemerne med Safe Harbor, hvilket de havde fremlagt i flere rapporter. AEPD forsikrer, at de nationale datatilsyn har planlagt at koordinere analysen af afgørelsen og de nationale værktøjer, der efterfølgende tages i brug, således at afgørelsen efterleves på en konsistent måde på tværs af EU.


Sverige

Myndighed: Datainspektionen

Dato: 6. oktober 2015

Link: http://www.datainspektionen.se/press/nyheter/2015/eu-domstolen-ogiltigforklarar-kommissionens-beslut-om-adekvat-skydd/

Sprog: Svensk

Kort resumé: Det svenske datatilsyn har blot lavet en kort udtalelse, hvor de opsummerer afgørelsen fra CJEU.


Storbritannien

Myndighed: ICO - Information Commissioner's Office (på dansk: Informationskommissærens kontor)

Dato: 6. oktober 2015

Link: https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2015/10/ico-response-to-ecj-ruling-on-personal-data-to-us-safe-harbor/

Sprog: Engelsk

Kort resumé: ICO's udtalelse anerkender vigtigheden af beslutningen, behovet for at lovgivere fremkommer med en enstemmig respons, og at det vil tage tid, før databehandlere kan foretage alternative løsninger, hvor de tidligere har støttet ret på Safe Harbor – med andre ord "gå ikke i panik, men gennemgå jeres situation" er beskeden til virksomheder og organisationer. ICO noterer også vigtigheden heraf i løbende handelsaftaler imellem USA og EU. ICO understreger, at Safe Harbor kun var en ud af flere mulige juridiske løsninger for USA-EU dataoverførsler, og at afgørelsen ikke påvirker (1) brugen af EU-godkendte standard contractual clauses som led i databeskyttelsesaftaler; (2) brugen af Binding Corporate Rules; (3) at støtte ret på lovgivningsmæssige udtagelser såsom individuelt samtykke; og (4) databehandleres mulighed for at foretage en egen-vurdering af deres "tilstrækkelighed". ICO stiller sig til rådighed ved vurderingen af disse forhold.


Som følge af C-362/14 Maximillian Schrems v Data Protection Commissioner samledes eksperter fra flere af Bird & Bird kontorerne i sidste uge til en webinar for at analysere afgørelsen, konsekvenserne og potentielle problemstillinger for virksomheder. Du kan finde link til dette nedenfor (webinaret blev afholdt på engelsk).

Safe Harbor erklæret ugyldig: Webinar >

Authors

Benoit Van Asbroeck

Partner
Belgien

Ring til mig på: +32 (0)2 282 6000
Image of Nis Peter Dall

Nis Peter Dall

Partner
Danmark

Ring til mig på: +45 20 75 27 47

Jesper Nevalainen

Partner
Finland

Ring til mig på: +358 (0)9 622 6670

Ariane Mole

Partner
Frankrig

Ring til mig på: +33 (0)1 42 68 6000

Debora Stella

Associate
Italien

Ring til mig på: +39 02 30 35 60 00

Ruth Boardman

Partner
Storbritanien

Ring til mig på: +44 (0)20 7415 6000

James Mullock

Partner
Storbritanien

Ring til mig på: +44 (0)20 7415 6000

Gabriel Voisin

Associate
Storbritanien

Ring til mig på: +44 (0)20 7415 6000

Henrik Bergström

Partner
Sverige

Ring til mig på: +46 (0)8 506 320 00

Vojtech Chloupek

Partner
Tjekkiet og Slovakiet

Ring til mig på: +420 226 030 500

Dr. Henriette Picot

Partner
Tyskland

Ring til mig på: +49 (0)89 3581 6000
Bálint Halász

Dr. Bálint Halász

Counsel
Ungarn

Ring til mig på: +36 1 799 2000