Schrems-II

GDPR loven

Schrems II-sagen

– et vigtigt kapitel i historien om databeskyttelsesforordningen

Hvis du er ansvarlig for overholdelse af GDPR-reglerne i din virksomhed eller organisation, har du sikkert fulgt med i Schrems II-sagen

I det følgende kan du læse mere om, hvad Schrems II-sagen og dommen afsagt i forbindelse med den kan få af betydning for danske organisationer. Og du vil kunne blive klogere på, hvilke foranstaltninger du selv bør sætte i værk, hvis organisationen i fremtiden skal være compliant i forbindelse med overførsel af personoplysninger til tredjelande.

Hvad er Schrems II-sagen?

Schrems II er en reference til en dom, som 16. juli 2020 blev afsagt i EU-Domstolen. Dommen fastslog, at det databeskyttelsesskjold – Privacy Shield – som mange virksomheder siden indførelsen af databeskyttelsesforordningen i 2018 har anvendt i forbindelse med overførsel af data mellem EU og USA, blev ugyldiggjort.

Schrems II-dommen betyder, at Privacy Shield ikke længere er tilstrækkeligt til at sikre overholdelse af EU’s krav om databeskyttelse. Dommen er opkaldt efter den østrigske advokat og aktivist Maximillian Schrems, som indledte sagen med en klage over Facebook tilbage i 2013.

Hvorfor er Schrems II-dommen vigtig?

Forud for Schrems II var tilliden til databeskyttelsesskjoldet intakt blandt omtrent 5.000 amerikanske virksomheder, som drev transatlantisk handel.

Disse virksomheder overførte data på tværs af territorierne i tryg forvisning om, at deres beskyttelse af brugernes og kundernes personlige data var i fuld compliance med de europæiske GDPR-regler.

Det har dog vist sig, at det hidtil anvendte overførselsgrundlag – EU-Kommissionens standardkontrakt om overførsel af personoplysninger mellem dataansvarlige, også kendt som Privacy Shield-ordningen – ikke var tilstrækkeligt i forbindelse med beskyttelse af persondata.

Dette betyder i praksis, at der som konsekvens af afgørelsen ikke længere kan overføres personoplysninger fra EU til tredjelande ved anvendelse af Privacy Shield. Og det har konsekvenser for alle virksomheder, som arbejder med data-transfer mellem EU-lande og eksempelvis USA.

Hvilken betydning har Schrems II-dommen for danske virksomheder?

Schrems II har afgørende betydning for måden, hvorpå dataoverførsler til lande uden for EU skal foregå i fremtiden.

Som en konsekvens af Schrems II-dommen skal alle europæiske virksomheder, som foretager overførsel af persondata til tredjelande, foretage individuelle vurderinger af hver enkelt overførsel for at sikre compliance.

Læs mere i Datatilsynets FAQ om konsekvenserne af dommen.

Hvem vedrører Schrems II-sagen primært?

Schrems II vedrører alle EU-baserede virksomheder, som indtil videre har benyttet Privacy Shield i forbindelse med overførsel af persondata mellem servere i EU-lande og lande uden for EU.

Hvordan skal danske virksomheder og organisationer forholde sig?

Danske virksomheder, som benytter sig af data-transfer mellem Danmark og tredjelande, bør selvfølgelig også indordne sig, hvis virksomhedernes compliance skal sikres. Datatilsynet har udgivet en opdateret vejledning, som beskriver, hvordan man som virksomhed skal forholde sig, hvis man ønsker at udføre overførsel af personoplysninger til tredjelande i overensstemmelse med den gældende forordning.

Skal vi tage en snak om, hvordan GDPR awareness træning kan hjælpe dig og din organisation med at forstå lovgivningen og overholde den i det daglige arbejde? Så kontakt allerede i dag.

Vi glæder os til at snakke med dig og vi viser dig gerne vores løsning på et online møde.

Comments are closed.