EU-domstolen: Dataaftale mellem USA og EU er ugyldig

EU-domstolen har netop suspenderet Safe Harbour-aftalen, som gjorde det muligt for virksomheder at overføre persondata om europæiske statsborgere til servere i USA. En mulighed, som cirka 4.400 selskaber benyttede sig af.

Sagen blev anlagt af en østrigsk statsborger, som i 2013 klagede til det irske datatilsyn, fordi han mente, at Facebook i Irland skulle forbydes at videregive personoplysninger til USA. Ifølge den østrigske statsborger blev persondata ikke tilstrækkeligt beskyttet i USA, hvilket ellers var grundstenen i dataudvekslingsaftalen. Den østrigske statsborger henviste til Edward Snowdens afsløringer af, at NSA reelt havde fri adgang til persondata, som blev opbevaret på amerikanske servere.

Dataudvekslingsaftalen – også kaldet Safe Harbour-aftalen – blev indgået i 2000 mellem EU og USA med det formål at sikre en forsvarlig opbevaring af persondata og gøre det muligt for virksomheder at sende persondata om europæiske borgere til servere i USA. Ifølge aftalen skulle persondata opbevares i overensstemmelse med EU-lovgivningen.

EU-domstolen skulle tage stilling til, om den 15 år gamle Safe Harbour-aftale fortsat var gyldig, og om den dermed stadig kunne sikre persondata om europæiske borgere tilstrækkeligt i USA.

EU-data skal beskyttes bedre

EU-domstolen afgjorde, at samtlige dele af Safe Harbour-aftalen var ugyldig.

Retten lagde vægt på, at aftalen ikke levede op til de høje EU-standarder for privatlivsbeskyttelse, og at flere af de EU-retlige grundrettigheder, fx respekten for privatliv og familieliv, ikke var varetaget tilfredsstillende.

Afgørelsen betyder, at de cirka 4.400 selskaber, som har brugt Safe Harbour-aftalen, ikke længere kan gøre det. Selskaberne tæller blandt andre Microsoft, Google og Facebook.

IUNO mener

Det er endnu usikkert, om der kommer en ny aftale mellem EU og USA, og hvordan den i så fald kommer til at se ud.

IUNO anbefaler, at virksomheder, som tidligere har benyttet ”Safe habour” som aftalegrundlag for udveksling af personoplysninger mellem EU og USA, er opmærksomme på, at aftalen efter denne dom ikke kan danne grundlag for overførsel af personoplysninger. Virksomhederne skal derfor fremover følge reglerne om dataoverførsel til usikre tredjelande, herunder anvendelse af EU's standardkontrakter (de såkaldte modelkontrakter). Derudover har virksomhederne mulighed for at anvende de såkaldte bindende virksomhedsregler (Binding Corporate Rules eller BCR).

[EU-domstolens dom af 6. oktober 2015 – Sag C-362/14]

Morgenmøde

IUNO holder morgenmøde om persondata den 10. november 2015, hvor vi opdaterer om persondatareglerne og de nyeste afgørelser inden for området i Danmark og EU, her i blandt Safe Harbour-dommen. Derudover kommer vi ind på forslaget til en ny EU-persondataforordning, som forventes at blive vedtaget i slutningen af året. Find invitationen her.