People Intouch har altid advaret foretagender om, at behandling af følsomme virksomhedsdata i USA vil medføre, at sådanne data bliver tilgængelige for nysgerrige amerikanske myndigheder (f.eks. DOJ, NSA, DHS). Denne måneds domsafsigelse i Schrems II-sagen ved EU-Domstolen bekræfter vores bekymring i denne henseende, samt understreger hvor vigtigt det er at overveje, hvor man ønsker at behandle sin virksomheds følsomme data vedrørende forsømmelse.
Den 16. juli erklærede EU-Domstolen i sin Schrems II-afgørelse, at ordningen for EU’s og USA’s værn om privatlivets fred er ugyldig. Værnet om privatlivets fred var det retsgrundlag, som mere end 5.000 virksomheder henholdt sig til, når de overførte personoplysninger fra Europa til USA i overensstemmelse med reglerne. Desuden vil afgørelsen have stor betydning for virksomheder, der ikke henholder sig til værnet om privatlivets fred med henblik på behandling i overenstemmelse med reglerne, eftersom kendelsen understreger, hvilke vanskeligheder der kan være forbundet med overførsel af data til USA, samt tilstrækkelig beskyttelse af disse.
GDPR fastlægger spillereglerne på europæisk niveau for beskyttelse af personoplysninger inden for EU. Overførslen af personoplysninger til lande uden for EU bør iagttage et tilsvarende (højt) beskyttelsesniveau. For at muliggøre grænseoverskridende overførsel uden for EU vedtager Europa-Kommissionen afgørelser om tilstrækkelighed for bestemte lande. En afgørelse om tilstrækkelighed består af en gennemførelsesafgørelse og en behandlingsprocedure, der omfatter kriterier som f.eks. hensyn til retsstatsprincippet, adgang til retshjælp og internationale standarder for menneskerettigheder. En afgørelse om tilstrækkelighed for et bestemt land beskytter international overførsel af data for det pågældende land. Ud over afgørelser om tilstrækkelighed kan dataoverførsler også gennemføres på en måde, der overholder GDPR-kravene ved f.eks. at aftale standardkontraktbestemmelser (vedtaget af Europa-Kommissionen, men også under lup i øjeblikket) eller bindende virksomhedsregler.
Værnet om privatlivets fred var ikke den første aftale, der blev udarbejdet af Europa-Kommissionen med henblik på at sikre tilsvarende beskyttelse ved overførsel af personoplysninger til USA. Forgængeren hed Safe Harbor-programmet og blev vedtaget for 20 år siden. Safe Harbor-programmet blev erklæret ugyldigt af EU-Domstolen i 2015 i Schrems I-afgørelsen som følge af en mangel på tilstrækkelig beskyttelse af grundlæggende rettigheder svarende til dem i EU. USA prioriterede national sikkerhed, offentlighedens interesse og lovhåndhævelse højere end Safe Harbor-principperne i beskyttelsen af personoplysninger.
Europe-Kommissionen godkendte formelt EU’s og USA’s værn om privatlivets fred i 2016 som en forbedret efterfølger til Safe Harbor-programmet. Værnet om privatlivets fred tilvejebragte et certificeringsprogram, som virksomheder på frivillig basis kunne vælge at deltage i. Virksomheder, der ønskede at tilslutte sig certificeringsprogrammet, skulle kvalificere sig og give tilsagn til at følge principperne i værnet om privatlivets fred. Disse principper omfattede f.eks. ansvar for videreoverførsel, dataintegritet, indsigt og ansvarlighed. Den 16. juni afsagde EU-Domstolen imidlertid dom om, at heller ikke værnet om privatlivets fred yder tilstrækkelig beskyttelse. Navnlig giver værnet om privatlivets fred ikke tilstrækkelige garantier om beskyttelse af overførte personoplysninger mod overvågningsprogrammer i USA. Ydermere tildeler værnet om privatlivets fred ikke europæiske registrerede tilstrækkelige rettigheder, som kan håndhæves, eller effektive retsmidler i USA.
EU-Domstolens afgørelse understreger endnu engang, hvilke vanskeligheder der følger ved overførsel af følsomme virksomhedsdata til USA. Eftersom værnet om privatlivets fred ikke længere udgør et gyldigt retsgrundlag for international dataoverførsel, bliver foretagender, der har henholdt sig til det, nødsaget til at indføre nye ordninger for fortsat at opfylde de høje europæiske standarder for databeskyttelse. De må foretage individuelle analyser for at beskytte deres data, hvis de ønsker at fortsætte med at overføre dem ud af Europa.
Få flere oplysninger om EU-Domstolens Schrems II-afgørelse her.