En ny EU-dom har gjort det ulovligt at overføre data til databehandlere beliggende i USA, der tidligere har været ”beskyttet” af Privacy Shield ordningen. Når der overføres data til tredjelande, skal der foreligge et tilstrækkeligt overførselsgrundlag, der sikrer en vis sikkerhedsstandard. Her har man kunne benytte sig af EU-U.S. Privacy Shield-ordningen. Den 16. juli 2020 afsagde EU-Domstolen ordningen for ugyldig.
Det betyder helt kort at ordningen ikke længere kan bruges som grundlag for overførsler til USA. EU-domstolen vurderede dog at man kan benytte EU-kommissionens standardkontrakter.
Jurist Daniel Hartfield-Traun fra LegalTeach Denmark gør dog opmærksom på at der stilles en række yderligere krav, før en overførsel kan finde sted. Blandt andet skal den dataansvarlige vurdere, hvorvidt lovgivningen i landet der overføres til, respekterer de krav til beskyttelse af data, som EU-lovgivningen stiller. Hvilket nærmes er umuligt i praksis for en almindelig dataansvarlig: ”Problemet er, at uanset hvilket juridisk grundlag, man anvender for at lovliggøre en dataoverførsel ud af EU/EØS, så skal der altid tages stilling til fire forudsætninger:
- Myndigheder i tredjelandes adgang til og brug af personoplysninger hidrørende fra EU skal ske på grundlag af klare, præcise og tilgængelige regler.
- Myndigheder i tredjelandes adgang til og brug af personoplysninger hidrørende fra EU skal være nødvendig og proportional (der skal være balance mellem formålet (national sikkerhed) og indgrebet i de registreredes ret til beskyttelse af deres privatliv.
- Der skal være en uafhængig og effektiv tilsynsmyndighed i tredjelandet.
- Der skal være tilgængelige og effektive retsmidler for de registrerede i tredjelandet.”
Hvad betyder det i praksis?
Mange brugere af Dropbox, Google, Microsoft, Mailchimp og andre services, der har hovedsæde i USA, skal nu i højere grad forholde sig til hvor data er håndteret – og hvem der kan få adgang til oplysningerne jf. national lov.
” Afgørelsen indskrænker de tilgængelige retsgrundlag for lovlige overførsler af personoplysninger til USA, idet det ikke længere er muligt for virksomheder inden for EU at bruge EU-U.S. Privacy Shield-ordningen.”
Kilde: Kromann & Reumert
Tanken er, at der skal være samme beskyttelse i det land data overføres til, som i Europa.
” Generelt set gør dommen det rigtig svært fremadrettet at overføre personoplysninger til USA. Kommissionen arbejder dog intensivt på at finde en ny løsning med USA. Ligesom de europæiske datatilsyn arbejder videre på at klarlægge dommens konsekvenser. ”
Kilde: Datatilsynet
Dropbox tilbyder valg af servere lokaliseret i Europa, men det koster ekstra. Læs mere om det her.
De kunder hos os der har Microsoft kan være helt rolige – den server data ligger på, står i Europa og er derfor underlagt Europæiske sikkerhedsstandarder og GDPR.
Tjek din Privatlivspolitik
Hvis du henviser til Privacy Shield ordningen i din privatlivspolitik bør du ændre ordlyden. Men tjek først at du faktisk overføre data til USA, eller om data ligger i Europa. Måske det slet ikke er nødvendigt at nævne Privacy-Shield-ordningen som grundlag for overførslen.