Ny dom mod Facebook giver et nyt udgangspunkt for virksomheders overførsel af persondata til lande uden for EU.

26.08.20 DI Handel Nyheder

Persondatasag mod Facebook er afgjort

Østrigske Max Schrems vandt i juli sin retssag mod Facebook ved EU-domstolen. Det har stor betydning for, hvordan europæiske virksomheder fremtidigt må overføre data til lande uden for EU.

Datasikkerhedsaftalen Privacy Shield, der blev indgået mellem USA og EU i 2016, blev 16. juli 2020 erklæret ugyldig af EU-domstolen. 

Dommen er faldet, efter at den østrigske aktivist Max Schrems har klaget over Facebooks databeskyttelse ved overførsel af oplysninger til Facebook Inc. i USA.

Domstolen understregede samtidig i sin afgørelse, at EU’s standardkontraktbestemmelser for overførsler til lande uden for EU/EØS fortsat er gyldige, men der stilles krav til den europæiske virksomheds forudgående kontrol af lovgivningen i det land uden for EU/EØS, hvor persondataene overføres til.

Hvad betyder det for din virksomhed?

Dommen betyder, at hvis du som dansk virksomhed overfører persondata til lande uden for EU, bør du først og fremmest kortlægge dine persondatastrømme til dine leverandører i disse lande.

For dine databehandlere og underdatabehandlere i USA omfatter det en gennemgang af din virksomheds eksisterende overførselsgrundlag for at afklare, om de benytter Privacy Shield.

Benytter en eller flere af jeres databehandlere eller underdatabehandlere sig af Privacy Shield, skal I overveje hvilket andet grundlag, der nu kan bruges til jeres overførsel. Hvis I overvejer, at bruge EU’s standardkontraktbestemmelser skal I være særligt opmærksomme på, at det nu er et krav, at I skal lave en forudgående kontrol af lovgivningen i dataimportørens land med henblik på at afgøre, om brugerens persondata er beskyttet på et niveau, der i det væsentlige svarer til det, der gælder i EU. En sådan vurdering kan med fordel foretages i samarbejde med dataimportøren uden for EU.

Vurderingen skal tage højde for:

1)      Indholdet af standardkontrakten

2)      De særlige omstændigheder ved persondataoverførslen

3)      Lovgivningen i dataimportørens land, herunder de berørte personers mulighed for effektive retsmidler.

Hvis I vurderer at lovgivningen i det pågældende land ikke sikrer et tilstrækkeligt beskyttelsesniveau som det, der gælder indenfor EU, kan det være nødvendigt for jer at supplere standardkontrakten med ekstra foranstaltninger for at overførslen lever op til GDPR. Det Europæiske Databeskyttelsesråd udtalte d. 17 juli, at de vil se nærmere på, hvad disse supplerende foranstaltninger kan være, men har dags dato ikke uddybet yderligere.

Foretager din virksomhed alene enkeltstående overførsler til USA, kan I overveje muligheden for at benytte artikel 49 til overførslen. Det kan dog alene gøres for enkeltstående overførsler og vurderingen skal laves case-by-case.

DI efterspørger klare retningslinjer

I DI har vi fulgt situationen tæt, og underdirektør i DI Kim Haggren ser med skepsis på, at virksomhederne nu skal efterleve yderligere regelsæt. Han efterspørger samtidig tydeligere retningslinjer:

”Beskyttelse af personoplysninger er som udgangspunkt positivt, men at lade det være op til dataeksportøren at undersøge lovgivningen i dataimportørens land, er en uforholdsmæssig stor byrde for virksomheder, der i forvejen har brugt mange penge på at leve op til de nye regler i databeskyttelsesforordningen. Her har virksomhederne brug for klare retningslinjer, de kan navigere efter”, siger han.

Læs også: Nu kan du få juridisk rådgivning i DI Handel

Har du spørgsmål?

Har du spørgsmål til afgørelsen, eller er du i tvivl om, hvordan du som virksomhed skal forholde dig, kan du kontakte DI og få vejledning på JURpersondata@di.dk eller på telefon 5213 2396.

Relateret