EU-Domstolen har afsagt dom (sag C 362/14) om, at EU-Kommissionen ikke kunne beslutte, at Safe Harbor-ordningen gør det muligt at overføre personoplysninger til USA.

EU-Domstolen lægger vægt på, at Safe Harbor-ordningen viger for amerikanske sikkerhedskrav, og at EU-borgeres personoplysninger i USA derfor ikke er beskyttet mod indgreb fra amerikanske myndigheder, ligesom der ikke er en effektiv domstolsbeskyttelse mod disse indgreb.

Dommen betyder, at EU-Kommissionens beslutning vedrørende Safe Harbor-ordningen bliver ugyldig. Dermed bliver det sværere at overføre personoplysninger til USA, fordi Safe Harbor-ordningen ikke længere kan bruges som grundlag for overførsel til USA.

Dette får betydning for Facebook, som sagen angår, men rammer også andre teknologigiganter i USA som Apple og Google, ligesom det rammer virksomheder, der i dag baserer overførsel af data fra EU til USA på Safe Harbor-ordningen.

Sagens baggrund

Efter persondatadirektivet må personoplysninger kun overføres til lande uden for EU, hvis det pågældende land sikrer et tilstrækkeligt beskyttelsesniveau for oplysningerne.

EU-Kommissionen traf i 2000 beslutning om, at USA sikrede et tilstrækkeligt beskyttelsesniveau for personoplysninger overført til USA efter Safe Harbor-ordningen. Safe Harbor-ordningen er en aftale mellem EU og USA om principper for beskyttelse af personoplysninger, som amerikanske virksomheder kan tilslutte sig.

Sagen begyndte, da en østrigsk borger, Maximilliam Schrems, klagede over Facebook til det irske datatilsyn. Klagen var begrundet med, at Facebook opbevarer oplysninger om borgeren i EU på servere i USA.

Dette var efter hans opfattelse ulovligt, fordi bl.a. Edward Snowdens afsløringer om NSA's adgang til data i USA viser, at amerikansk lovgivning ikke giver en tilstrækkelig beskyttelse af personoplysninger.

Det irske datatilsyn afviste klagen med henvisning til EU-Kommissionens beslutning fra 2000.

Sagen blev senere indbragt for den øverste irske retsinstans, High Court of Ireland, som bad EU-Domstolen om at efterprøve holdbarheden af EU-Kommissionens beslutning fra 2000, navnlig set i lyset af den senere udvikling omkring sikkerheden af data i USA. EU-Kommissionens beslutning om Safe Harbor blev i den forbindelse erklæret ugyldig.

kontakt

Charlotte Kunckel

Specialistadvokat