EU-dom erklærer dataudvekslingsaftale mellem EU og USA ugyldig
I en opsigtsvækkende dom fastslog EU-domstolen tirsdag den 6. oktober, at den såkaldte Safe Harbour aftale, som de sidste 15 år har tilladt amerikanske virksomheder let at overføre persondata om EU-borgere til USA ikke længere er gyldig. Læs her om baggrunden for dommen og konsekvenserne.
1. at de nationale datatilsyn i EU er kompetente under persondatadirektivet (95/46/EC) til at behandle spørgsmålet om, hvorvidt eksempelvis Safe Harbour-beslutningen giver en tilstrækkelig beskyttelse af personoplysninger i USA. EU-domstolen er imidlertid enekompetent til at afgøre spørgsmålet, og de nationale datatilsyns kompetence er derfor begrænset til at behandle sagen frem mod en national domstols præjudicielle forelæggelse for EU-domstolen.
2. At Safe Harbour-beslutningen ikke giver en tilstrækkelig beskyttelse for behandling af personoplysninger i USA, og derfor er ugyldig.
I det følgende vil jeg redegøre for domstolens begrundelse for dommen, og give mine anbefalinger til, hvordan man som dansk eksportør af persondata på grundlag af Safe Harbour-aftalen nu bør forholde sig.
Baggrund
Persondatadirektivets artikel 25 (persondatalovens § 27) fastsætter, at videregivelse af personoplysninger til et tredjeland som udgangspunkt kun må finde sted, hvis det pågældende tredjeland sikrer et tilstrækkeligt beskyttelsesniveau for personoplysningerne. Det følger også af direktivet artikel 25, stk. 6, at Kommissionen kan fastslå, at et tredjeland sikrer et "tilstrækkeligt beskyttelsesniveau" på grundlag af dets nationale lovgivning eller dets internationale forpligtelser. En sådan beslutning afgav Kommissionen i juli 2000, hvor man ved beslutning 2000/520/EC fandt, at USA var et sikkert tredjeland i forhold til overførsel til amerikanske virksomheder, som var omfattet af Safe Harbour-ordningen. Ordningen oplister en række principper, som den amerikanske virksomhed skal erklære at man vil efterleve ved sin behandling af personoplysninger. Det fremgår dog også af ordningen, at myndighederne på grundlag af kravene vedrørende statens sikkerhed og almenvellet samt på grundlag af den nationale amerikanske lovgivning, kan foretage indgreb i de grundlæggende rettigheder til beskyttelse af personoplysninger vedrørende den person, hvis personoplysninger bliver eller kan blive videregivet fra EU til USA.Østrigske Max Schrems indgav i juni 2013 en klage til det irske datatilsyn, og gjorde gældende, at på grund af de amerikanske efterretningstjenesters aktiviteter, herunder aktiviteterne i National Security Agency, sikrer Safe Harbour-beslutningen sammenholdt med lovgivningen og praksis i USA ikke en tilstrækkelig beskyttelse mod de offentlige myndigheders overvågning af personoplysninger overført til USA. Det irske datatilsyn afviste klagen med bl.a. den begrundelse, at man ikke mente at være kompetent til at foretage en vurdering af, om Safe Harbour-beslutningen overholdt persondatadirektivets krav. Max Schrems anlagde herefter sag ved den irske High Court, der som led i behandlingen af sagen valgte at foretage en præjudiciel forelæggelse bl.a. af spørgsmålet om, hvorvidt det nationale datatilsyn er kompetent til at vurdere en klage over beskyttelsen af klagerens personoplysninger, ved overførsel til et tredjeland på grundlag af en beslutning fra EU-Kommissionen i medfør af direktivets artikel 25, stk. 6.
Spørgsmålet om de nationale datatilsyns kompetence
EU-domstolen kom ved en fortolkning af ordlyden af direktivets artikel 25, sammenholdt med kravet i artikel 8, stk. 3, i Chartret om Grundlæggende Rettigheder (om at persondatabeskyttelsen skal undergives et uafhængigt tilsyn) frem til, at direktivets artikel 28 (som fastlægger kompetencerne for de nationale datatilsyn) giver de nationale datatilsyn kompetence til at foretage en behandling af en persons anmodning om beskyttelse af vedkommendes rettigheder og frihedsrettigheder i forbindelse med behandlingen af personoplysninger, der vedrører den pågældende, og som er blevet videregivet fra en medlemsstat til et tredjeland (f.eks. USA), når denne person gør gældende, at den gældende lovgivning og praksis i tredjelandet ikke sikrer et tilstrækkeligt beskyttelsesniveau. Domstolen kom dog også frem til, at kompetencen for de nationale datatilsyn er begrænset til at behandle sagen frem mod en national domstols præjudicielle forelæggelse for EU-domstolen, idet EU-domstolen er enekompetent til at afgøre spørgsmålet om ugyldighed af eksempelvis Safe Harbour-beslutningen.Gyldigheden af Safe Harbour-beslutningen
Uanset at den irske High Court ikke havde stillet dette spørgsmål, gik EU-domstolen herefter videre til at vurdere, om Safe Harbour-beslutningen var i overensstemmelse med de krav, der følger af direktivet, sammenholdt med chartret - altså om den beskyttelse, som de berørte personer opnåede ved behandling af deres oplysninger i USA under Safe Harbour-ordningen, udgjorde et "tilstrækkeligt beskyttelsesniveau" sammenholdt med den beskyttelse, som ydes inden for EU i medfør af persondatadirektivet og chartret.Domstolen fandt her indledningsvist, at direktivets artikel 25, stk. 6, om Kommissionens kompetence til at fastslå, at et tredjeland sikrer et "tilstrækkeligt beskyttelsesniveau" på grundlag af dets nationale lovgivning eller dets internationale forpligtelser, gennemfører den udtrykkelige forpligtelse til beskyttelse af personoplysninger, der er fastsat i chartrets artikel 8, stk. 1, og har til formål at sikre et fortsat højt niveau for denne beskyttelse i tilfælde af videregivelse af personoplysninger til et tredjeland. Domstolen fandt videre, at formuleringen "et tilstrækkeligt beskyttelsesniveau" i direktivets artikel 25 medfører, at der skal tilvejebringes et beskyttelsesniveau, som i det væsentlige svarer til det niveau, der er sikret inden for Unionen i medfør af persondatadirektivet, sammenholdt med artikel 8, stk. 1 i chartret. Dette er det vigtigste principielle take-away fra dommen: Det benchmark, som skal bruges ved vurderingen af beskyttelsen i landet uden for EU, skal "i det væsentlige" svare til den beskyttelse, som er sikret inden for EU i medfør af persondatadirektivet og artikel 8, stk. 1, i chartret. Dette er et meget strengt benchmark, som på den ene side vil give en stærk beskyttelse, men som på den anden side vil stille store krav til forholdene i de lande, som Kommissionen foretager en vurdering af. Herefter bemærkede EU-domstolen, at Kommissionen ved vurderingen af beskyttelsen i tredjelandet skal se på den beskyttelse, som opnås i praksis. Kommissionen skal derfor se på både indholdet af de relevante regler i tredjelandet, og på den håndhævelse mv., som disse regler er undergivet i praksis, idet man hér skal tage hensyn til samtlige de forhold, der vedrører en videregivelse af personoplysninger til tredjelandet. Domstolen konstaterede endelig, at Kommissionen ikke havde foretaget en sådan vurdering, men at den havde begrænset sig til at vurdere Safe Harbour-ordningen, der ikke indeholder regler om myndighedernes adgang til de overførte personoplysninger (og ikke forpligter myndighederne). Endvidere havde "kravene med hensyn til statens sikkerhed, almenvellet eller opretholdelsen af lov og orden [i USA]" forrang for Safe Harbour-principperne. I medfør af denne forrang var de selvcertificerede amerikanske virksomheder, der modtager personoplysninger fra EU under ordningen, forpligtet til uden begrænsning at se bort fra disse principper, når disse er i modstrid med disse krav og derfor viser sig uforenelige med kravene. Endelig var der ikke nogen beskrivelse af, om der foreligger en effektiv domstolsbeskyttelse mod disse indgreb. På denne baggrund fandt EU-domstolen, at Safe Harbour-beslutningen er ugyldig.
Konsekvenser af dommen
Det er en direkte konsekvens af dommen, at Safe Harbour-beslutningen ikke længere kan bruges som grundlag for overførsler at persondata til USA. Der pågår for tiden forhandlinger mellem EU-kommissionen og USA om en ny Safe Harbour-ordning, men det er ikke realistisk med nogen hurtig afslutning af disse forhandlinger. Dette hænger også sammen med, at EU-domstolen som nævnt skærpede kravene til, hvornår et givent grundlag for overførsel giver et "tilstrækkeligt beskyttelsesniveau". Dette må forventes at få betydning for både en Safe Harbour-aftale, men også hvordan EU-domstolen fremover vil se på de andre overførselsgrundlag, eksempelvis de overordnede godkendelser af lande uden for EU, herunder Færøerne. De virksomheder, som i dag bruger Safe Harbour-beslutningen, skal derfor finde et andet grundlag for overførslen. Det oplagte valg vil være EU-kommissionens standard-aftaler, som der findes tre udgaver af. To udgaver vedrører overførsler fra dataansvarlig til dataansvarlig, mens den sidste udgave vedrører overførsler fra en dataansvarlig til en databehandler. Aftalerne kan hentes på EU-kommissionens hjemmeside. Brugen af standard-aftalerne skal ikke anmeldes til Datatilsynet - forudsat at der ikke er foretaget andre ændringer, end dem som er tilladt efter standard-aftalernes eget indhold. Husk at gennemlæse den valgte standard-aftale; den indeholder en række forpligtelser for såvel dataeksportøren som dataimportøren, der skal overholdes. Det er ikke nok at udfylde aftalen og underskrive den - aftalen skal også overholdes! Der er efter persondatalovens § 27 også andre muligheder for en lovlig overførsel af personoplysninger til USA. Man kan eksempelvis indhente samtykke, men det er dog ofte ikke nogen særlig praktisk løsning. Samtykke kan også altid tilbagekaldes. Den langsigtede løsning er Binding Corporate Rules, som en række af vores klienter allerede er i gang med. Det er dog et langvarigt og omfattende projekt, som på den ene side giver en lang række varige fordele, men som på den anden side ikke løser de aktuelle problemer med dommen. Det er allerede nu indikeret fra flere nationale datatilsyn, at man ikke forventer, at den dataansvarliges nye overførselsgrundlag er på plads her og nu. Det bedste råd er faktisk at vente en uges tid, da de europæiske datatilsyn mødes med EU-kommissionen i Bruxelles på torsdag den 8. oktober for at drøfte en koordineret anvendelse af dommen. Herefter forventes en udmelding en gang i uge 42.
Af Michael Hopp Certificeret IT-advokat og medlem af Danske IT-advokaters bestyrelse Advokat, Partner