Flere virksomheder har længe været i tvivl om, hvordan man må overføre persondata til ikke-sikre lande udenfor EU.
Skulle man vente til landet blev erklæret sikker af EU? Skulle der laves en Safe Harbour-aftale, som man har set med USA? Eller hvad skulle der til?
Nu har generaladvokat Henrik Saugmandsgaard Øe, der er en af de 11 generaladvokater ved EU-domstolen, slået fast, at man efter hans opfattelse kan fortsætte med at bruge standardkontraktbestemmelser om databeskyttelse, der er fastsat af EU-Kommissionen, som overførselsgrundlag.
MEN dataeksportøren skal samtidig forholde sig til, hvorvidt de registrerede i det pågældende land har samme beskyttelsesniveau som i EU.
I praksis svarer det til, at EU-borgeren skal kunne regne med at de 4 europæiske garantier er opfyldt.
Du kan læse mere om dette i arbejdsdokumentet fra det europæiske databeskyttelsesråd.
I korthed går de 4 garantier ud på, at dataeksportøren skal undersøge, om:
- Det modtagende land har en databeskyttelseslov
- Det modtagende land har et uafhængigt Datatilsyn
- De registrerede (datasubjekterne) kan klage til det pågældende Datatilsyn
- Myndighederne i det modtagende land har ikke adgang til persondata medmindre det er nødvendigt af hensyn til det pågældende lands sikkerhed eller lignende tungtvejende grunde. Der må med andre ord ikke finde en generel overvågning sted.
”Selv om det er en lettelse for erhvervslivet, at vi forhåbentlig kan fortsætte den gængse praksis med EU´s standardblanketter, når EU-domstolen engang har talt, så må vi samtidig sige, at det nærmest er en umulig opgave for virksomhederne selv at undersøge, hvorvidt et givent land er tilstrækkelig sikkert til, at man må overføre persondata,” siger Sven Petersen, der er erhvervsjuridisk fagchef i Dansk Erhverv.
Indtil populære datalande som Ukraine, Egypten og Indien bliver godkendt som sikre lande af EU, skal den dataansvarlige kunne dokumentere, at man har forholdt sig til de 4 garantier.
Eller også må man vælge EU baserede cloudløsninger.
Baggrunden for tvisten er en sag anlagt af Maximillian Schrems, der er en østrigsk bruger af Facebook. Han har klaget over, at Facebooks irske datterselskab overføre persondata til servere, der befinder sig i USA.
Han mente på baggrund af Edward Snowdens afsløringer om de amerikanske efterretningstjenesters aktiviteter ikke, at USA yder en tilstrækkelig beskyttelse mod de offentlige myndigheders overvågning af EU-borgeres persondata.
Det er i forbindelse med denne sag, at generaladvokaten er kommet med sin holdning til EU’s standardkontrakter.
Så indtil domstolen kommer med sin endegyldige dom, vil EU’s standardkontrakter fortsat være et tilfredsstillende overførselsgrundlag ved brug af samarbejdspartnere i usikre tredjelande.
Du kan læse hele udtalelsen på Curia Europas hjemmeside.
- Erhvervsjuridisk fagchef, advokat, LLM, Handel
Sven Petersen
- Email: svp@danskerhverv.dk
- Telefon: 33 74 61 09
- Mobil: 40 98 41 71