Privacy Shield er død – hvad betyder det for HR?

EU-Domstolen har med sommerens dom i Schrems II-sagen fundet Privacy Shield-ordningen ugyldig. Dommen har stor betydning for de virksomheder, som har benyttet ordningen til at overføre personoplysninger til USA, men rækker formentlig videre, idet den rejser spørgsmål i forhold til overførsler til tredjelande generelt på basis af andre overførselsgrundlag.

NVI_Portrætter_done_040_web.jpg

Det følger af databeskyttelsesforordningen (”GDPR”), at der som udgangspunkt kun må overføres oplysninger til tredjelande, herunder USA, hvis landet har et tilstrækkeligt beskyttelsesniveau, der i det væsentligste svarer til beskyttelsesniveauet efter GDPR. Dette gælder naturligvis også for HR, hvor det kan være relevant, hvis fx medarbejderoplysninger opbevares på servere i et tredjeland, eller hvor der samarbejdes med databehandlere uden for EU.

For USA har der siden 2016 eksisteret en særlig ordning, EU-U.S. Privacy Shield. Ordningen blev etableret på baggrund af en afgørelse fra EU-Kommissionen fra 2016 (Schrems I), hvor Safe Harbour-ordningen blev underkendt som overførselsgrundlag. Privacy Shield blev etableret som nyt grundlag for overførsler til USA, idet ordningen havde til hensigt at sikre EU-borgerne et tilstrækkeligt beskyttelsesniveau.

I lighed med sagen fra 2016 udsprang Schrems II-sagen af en klage fra den østrigske statsborger Maximillian Schrems, som til det irske datatilsyn havde klaget over, at Facebook overførte hans personoplysninger til moderselskabet i USA. Sagen kom for de irske domstole, som forelagde en række spørgsmål for EU-Domstolen om EU’s standardkontrakbestemmelser (”SCC”’er). EU-Domstolen valgte derudover at tage stilling til gyldigheden af Privacy Shield-ordningen.

EU-Domstolen fandt, at SCC’erne – i princippet – var gyldige, og de kan således fortsat bruges som overførselsgrundlag ved overførsler til tredjelande, herunder USA. Domstolen fastslog dog samtidig, at Privacy Shield-ordningen ikke sikrede et tilstrækkeligt beskyttelsesniveau for EU-borgerne og erklærede derfor ordningen ugyldig. EU-Domstolen tillagde det bl.a. afgørende betydning, at de amerikanske efterretningstjenester har vid adgang til at tilgå EU-borgeres persondata, når disse er overført til USA, samt at EU-borgere ikke har en effektiv adgang til at få prøvet deres rettigheder ved de amerikanske domstole.

Hvad så nu?
Spørgsmålet er herefter, hvilken betydning dommen har for de virksomheder, der hidtil har benyttet Privacy Shield-ordningen?

Overførsler baseret på Privacy Shield-ordningen
Der er ingen overgangsperiode efter EU-Domstolens dom, og Privacy Shield er dermed ikke længere lovligt at benytte som overførselsgrundlag. Dataansvarlige bør derfor med det samme finde et nyt overførselsgrundlag. Dette gælder også for overførsler af medarbejderoplysninger på tværs af koncernforbundne selskaber. De fleste koncernforbundne virksomheder bruger dog formodentlig andre overførselsgrundlag end Privacy Shield, når det gælder medarbejderoplysninger

Overførsler baseret på SCC’er
Det er fortsat muligt at anvende SCC’er som overførselsgrundlag ved overførsler til tredjelande. EU-Domstolen fremhævede dog i sin afgørelse, at det er dataeksportøren og dataimportøren, som har ansvaret for, at de registrerede også i praksis nyder et tilstrækkeligt beskyttelsesniveau i tredjelandet. Desuden skal overførsler suspenderes, hvis der sker brud på SCC’er, eller hvis det viser sig ikke at være muligt for parterne at overholde bestemmelserne i SCC’er fx pga. lovgivningen i tredjelandet.

I og med at EU-Domstolen vurderede, at Privacy Shield-ordningen ikke sikrede et tilstrækkeligt beskyttelsesniveau i USA, er det usikkert, om det samme ikke vil gøre sig gældende for SCC’er. Denne problemstilling kan også være aktuel for så vidt angår andre tredjelande, og spørgsmålet vil skulle afklares i praksis. Det anbefales derfor, at dataansvarlige nøje følger udviklingen.

EU-Domstolen bekræftede desuden, at de nationale datatilsyn har pligt til at gribe ind, hvis de vurderer, at overførsler baseret på SCC’er ikke giver et tilstrækkeligt beskyttelsesniveau.

HR-afdelinger bør særligt holde sig for øje, om man i forbindelse med digital opbevaring af medarbejderoplysninger samarbejder med fx udbydere af cloudløsninger, der har deres servere placeret i et tredjeland, herunder USA, eller fx en lønadministrationsudbyder, som opbevarer oplysninger på cloudservere i tredjelande. Der kan i de situationer være grund til at overveje, om virksomheden selv, cloududbyderen eller lønadministrationsudbyderen er i stand til at levere de garantier for de registrerede, som kræves efter EU-Domstolens dom. Hvilke garantier eller foranstaltninger, der konkret kan arbejdes med, står dog endnu ikke helt klart, så yderligere vejledning fra de nationale datatilsyn, fra EDPB (Det Europæiske Databeskyttelsesråd) samt fra EU-Kommissionen imødeses. Dette stiller naturligvis virksomhederne i en usikker situation, da EU-Domstolens dom ikke giver klarhed over, hvad virksomhederne så kan, hvis der fortsat er behov for overførsel til tredjelande. Indtil yderligere afklaring foreligger, kan virksomhederne dog overveje, om det er muligt at begrænse delingen og adgangen til medarbejderoplysninger, således at disse ikke tilgår USA (eller andre tredjelande, hvor tilsvarende problemstillinger kan gøre sig gældende).

Overførsler baseret på bindende virksomhedsregler (”BCR’er”)
Ligesom i relation til SCC’er kan overførsler baseret på BCR’er fortsat opretholdes. Også i forhold til BCR som overførselsgrundlag er det dog nødvendigt at være opmærksom på, at de registreredes rettigheder stadigvæk skal være tilstrækkeligt beskyttet, og at det efter EU-Domstolens dom er usikkert, om dette anses for muligt ved dataoverførsler til USA.

BCR som overførselsgrundlag er erfaringsmæssigt benyttet i stort omfang for koncernforbundne virksomheder, der udveksler oplysninger, herunder medarbejderoplysninger, på tværs af koncernen. Hvis koncernen benytter fælles cloudløsninger, kan der være grund til at se på, hvor de pågældende oplysninger, for de pågældende borgere, behandles og opbevares, og om der er grund til ændringer.

Andre overførselsgrundlag?
Det kan være muligt at anvende de særlige overførselsgrundlag i GDPR artikel 49. Det er dog vigtigt for arbejdsgivere at huske på, at selvom samtykke principielt er et muligt overførselsgrundlag, er dette ofte uhensigtsmæssigt, bl.a. fordi det skal indhentes fra hver registreret, ligesom samtykket kan kaldes tilbage.

Norrbom Vinding forventer, at der i den nære fremtid vil komme retningslinjer og anbefalinger fra flere myndigheder på baggrund af EU-Domstolens afgørelse heriblandt fra Datatilsynet og Det Europæiske Databeskyttelsesråd (”EDPB”).

EDPB’s FAQ om dommen kan tilgås her (på engelsk).

Norrbom Vinding bemærker

  • at der er tale om en afgørelse, som får vidtrækkende konsekvenser for virksomheder, som behandler eller får behandlet deres personoplysninger i USA, idet betydningen af dommen er, at Privacy Shield-ordningen ikke længere kan danne grundlag for overførsel af bl.a. medarbejderoplysninger fra EU til USA mellem fx koncernforbundne selskaber,
  • at virksomheder, som hidtil har overført oplysninger til USA på baggrund af Privacy Shield-ordningen, hurtigst muligt bør gennemgå deres forretningsgange og herefter etablere et andet overførselsgrundlag,
  • at dommen derudover sætter spørgsmålstegn ved, om SCC’er og BCR’er fremadrettet kan bruges som overførselsgrundlag for overførsler af persondata til USA (og potentielt også i forhold til andre tredjelande), idet det er usikkert, om det efter en konkret vurdering vil være muligt at sikre et tilstrækkeligt beskyttelsesniveau for EU-borgerne, og
  • at alle virksomheder, som overfører oplysninger til tredjelande, derfor nøje bør følge udviklingen og vejledning fra relevante myndigheder.

Indholdet i ovenstående nyhedstekst er ikke og kan ikke erstatte juridisk rådgivning.

Mere om emnet