EU-Domstolen har i dag afsagt en afgørelse i den længe ventede Schrems II-sag. Sagen er relevant for alle danske virksomheder og institutioner og handler primært om forudsætningerne for lovligt at overføre personoplysninger til lande uden for EU.

Vi opsummerer her sagens udfald:

  1. Overførsel af personoplysninger til et land uden for EU er stadig omfattet af GDPR, når overførslen sker mellem to kommercielle virksomheder, selvom personoplysningerne kan blive behandlet af myndigheder, der ikke er omfattet af GDPR.
  2. Overførsel af personoplysninger til et land uden for EU forudsætter, at databeskyttelsesniveauet i landet i det væsentligste svarer til det niveau, der er sikret inden for EU. Dette skal vurderes af den Dataansvarlige ved anvendelse af standardkontraktbestemmelser (“standard contractual clauses”) som overførselsgrundlag, hvor der også tages hensyn til de relevante aspekter ved lovgivningen i landet uden for EU.
  3. Datatilsynet skal begrænse eller påbyde suspension af overførsel af personoplysninger til et land uden for EU, som er baseret på standardkontraktbestemmelser, hvis de vurderer, at standardkontraktbestemmelserne eller EU-databeskyttelsesret ikke kan overholdes, medmindre der foreligger en afgørelse om tilstrækkeligheden af beskyttelsesniveauet for det pågældende land eller område.
  4. Standardkontraktbestemmelser kan som udgangspunkt stadig bruges som et gyldigt grundlag for overførsel af personoplysninger til lande uden for EU.
  5. Privacy Shield er ugyldigt og kan ikke bruges som overførselsgrundlag.


Vi analyserer dommen nærmere i kommende nyhedsbreve, hvor vi vurderer, hvad dommen betyder for danske virksomheder og institutioner, og præsenterer, hvordan vi håndterer det i vores ComplyCloud-løsning.