AKTUELT: Schrems II-opdatering Vigtig viden for dig, der arbejder med internationale it-leverandører.

Som vi tidligere har skrevet om, så afsagde EU-Domstolen den 16. juli 2020 dom i den såkaldte Schrems II-sag.[1] Dommen har fået ekstraordinær meget medieomtale, fordi den berører forudsætningerne for lovligt at overføre personoplysninger ud af EU og EØS. Vi vil her forsøge at skabe klarhed over de vigtigste udfordringer og løsningsmuligheder, som Schrems II-sagen giver alle, der arbejder med internationale it-leverandører.

Sagen er især relevant for alle danske organisationer, som bruger hostingudbydere eller it-leverandører, der overfører personoplysninger til lande uden for EU og EØS. Det er f.eks. tilfældet, hvis du har accepteret Microsofts ”Tillæg til Databeskyttelse for Microsofts Onlinetjenester” eller Googles ”Google Ads Data Processing Terms”.  allerede fordi Datatilsynet tilsyneladende anser sådanne forbehold for at forudsætte lovligt grundlag for overførsel af personoplysninger til de omfattede lande uden for EU og EØS.[2]

Sagen ændrer på den praksis, som har været gældende i Danmark for lovligt at kunne overføre og efterfølgende behandle personoplysninger uden for EU og EØS. I praksis har det hidtil været antaget, at overførsel bl.a. kan ske, hvis der vedlægges standardkontraktbestemmelser for overførsel af personoplysninger som bilag til databehandleraftalen mellem en organisation og dens it-leverandør,[3] eller hvis it-leverandøren har været selvcertificeret i henhold til EU-U.S. Privacy Shield-ordningen.[4]

Fremover er praksis ændret, så standardkontraktbestemmelser om overførsel ikke selvstændigt kan udgøre et lovligt overførselsgrundlag. Derudover er Privacy Shield-ordningen erklæret ugyldig og kan derfor ikke bruges som overførselsgrundlag. Derfor bør danske virksomheder såvel som offentlige institutioner gennemgå de scenarier, hvor de selv eller deres leverandører overfører personoplysninger til lande uden for EU og EØS og i den forbindelse sikre, at der foreligger overførselsgrundlag, som er tilstrækkelige efter Schrems II-sagen.

Konkret betyder det, at overførsel af personoplysninger til lande uden for EU og EØS forudsætter anvendelse af standardkontraktbestemmelser for overførsel og yderligere foranstaltninger, som er nødvendige for at sikre, at de registrerede i løbet af og efter overførsel opnår et beskyttelsesniveau, der i det væsentlige svarer til databeskyttelsesretten herhjemme.[5] Kort sagt skal det sikres, at databeskyttelsesloven og databeskyttelsesforordningen (GDPR) stadig overholdes, selvom der overføres personoplysninger til lande uden for EU og EØS.

Det er endnu ikke fastlagt i retspraksis, hvordan der ved yderligere foranstaltninger sikres det nødvendige beskyttelsesniveau. Det norske datatilsyn og det Europæiske Databeskyttelsesråd har dog anført, at det generelt kan være juridiske, tekniske eller organisatoriske tiltag,[6] og der kan derfor ikke forventes særlige formkrav til de yderligere foranstaltninger, når blot beskyttelsesniveau opretholdes.