kom (2015) 0566 - Ingen titel

Europaudvalget 2015
KOM (2015) 0566
Offentligt

EUROPA-

KOMMISSIONEN

Bruxelles, den 6.11.2015

COM(2015) 566 final

MEDDELELSE FRA KOMMISSIONEN TIL EUROPA-PARLAMENTET OG

RÅDET

om videregivelse af personoplysninger fra EU til USA i henhold til direktiv 95/46/EF

efter Domstolens dom i sag C-362/14 (Schrems)

kom (2015) 0566 - Ingen titel

MEDDELELSE FRA KOMMISSIONEN TIL EUROPA-PARLAMENTET OG

RÅDET

om videregivelse af personoplysninger fra EU til USA i henhold til direktiv

95/46/EF efter Domstolens dom i sag C-362/14 (Schrems)

1. I

NDLEDNING

: A

NNULLATIONEN AF SAFE HARBOR

BESLUTNINGEN

Den Europæiske Unions Domstol (i det følgende benævnt "Domstolen") bekræfter med sin

afgørelse af 6. oktober 2015 i sag C-362/14 (Schrems)

betydningen af den grundlæggende ret

til beskyttelse af personoplysninger som fastsat i Den Europæiske Unions charter om

grundlæggende rettigheder, herunder når disse oplysninger videregives til lande uden for EU.

Videregivelse af personoplysninger er et afgørende element i det transatlantiske forhold. EU

og USA er hinandens vigtigste handelspartnere, og videregivelse af oplysninger udgør en

stadigt mere integreret del af deres samhandel.

For at fremme disse datastrømme og samtidig sikre et højt beskyttelsesniveau, for så vidt

angår personoplysninger, anerkendte Kommissionen med vedtagelsen af Kommissionens

beslutning 2000/520/EF af 20. juli 2000 (i det følgende benævnt "safe harbor-beslutningen"),

at safe harbor-ordningen var tilstrækkelig. Med denne beslutning, der havde hjemmel i

artikel 25, stk. 6, i direktiv 95/46/EF

, anerkendte Kommissionen, at safe harbor-principperne

til beskyttelse af privatlivets fred og de dertil hørende hyppige spørgsmål fra det amerikanske

handelsministerium gav en tilstrækkelig beskyttelse med henblik på videregivelse af

personoplysninger fra EU

. Som følge heraf kunne personoplysninger frit videregives fra EU-

medlemsstaterne til de virksomheder i USA, der havde tilsluttet sig principperne, selv om

USA ikke har en generel databeskyttelseslov. Safe harbor-ordningen hvilede på forpligtelser

og selvcertificering fra de deltagende virksomheders side. Skønt det er frivilligt at tilslutte sig

safe harbor-principperne og de dertil hørende hyppige spørgsmål, er disse bestemmelser

bindende efter amerikansk ret for de enheder, der har tilsluttet sig dem, og kan håndhæves af

den amerikanske Federal Trade Commission

I sin dom af 6. oktober 2015 erklærede Domstolen safe harbor-beslutningen ugyldig. Det er

på denne baggrund, at nærværende meddelelse har til formål at give et overblik over de

alternative redskaber til den transatlantiske videregivelse af oplysninger i henhold til direktiv

Dom af 6. oktober 2015 i sag C-362/14, Maximilian Schrems mod Data Protection Commissioner

(EU:C:2015:650) (i det følgende også benævnt "dommen" eller "Schremsafgørelsen").

Europa-Parlamentets og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i

forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (EFT L 281 af

23.11.1995, s. 31 (i det følgende benævnt "direktiv 95/46/EF" eller "direktivet").

I denne meddelelse omfatter udtrykket "EU" også EØS. Henvisninger til "medlemsstaterne" omfatter dermed

også EØS-medlemsstaterne.

For en mere indgående gennemgang af safe harbor-ordningen henvises til "Meddelelse fra Kommissionen til

Europa-Parlamentet og Rådet om, hvordan safe harbor-ordningen fungerer for så vidt angår EU-borgerne og

virksomhederne i EU" (COM(2013) 847 final).

kom (2015) 0566 - Ingen titel

95/46/EF, idet der ikke foreligger en afgørelse om tilstrækkeligt beskyttelsesniveau.

Meddelelsen beskriver også kort dommens konsekvenser for andre af Kommissionens

afgørelser om tilstrækkeligt beskyttelsesniveau. I dommen præciserede Domstolen, at en

afgørelse om tilstrækkeligt beskyttelsesniveau som omhandlet i artikel 25, stk. 6, i direktiv

95/46/EF er betinget af, at Kommissionen finder, at der i det berørte tredjeland er et

beskyttelsesniveau for personoplysninger, som i det væsentlige svarer til det niveau, der er

sikret inden for EU i medfør af direktivet, sammenholdt med chartret om grundlæggende

rettigheder, omend det ikke nødvendigvis er identisk med dette niveau. Hvad angår safe

harbor-beslutningen, fastslog Domstolen, at den ikke indeholdt tilstrækkelige konstateringer

fra Kommissionens side vedrørende begrænsningen af de amerikanske offentlige

myndigheders adgang til de oplysninger, der videregives i henhold til beslutningen, og

vedrørende tilstedeværelsen af en effektiv domstolsbeskyttelse mod indgreb af denne art.

Domstolen præciserede navnlig, at en lovgivning, der gør det muligt for de offentlige

myndigheder på generel vis at få adgang til indholdet af elektronisk kommunikation, anses for

at udgøre et indgreb i det væsentligste indhold af den grundlæggende ret til respekt for

privatlivet. Domstolen bekræftede desuden, at selv hvor der foreligger en afgørelse om

tilstrækkeligt beskyttelsesniveau som omhandlet i artikel 25, stk. 6, i direktiv 95/46/EF, har

medlemsstaternes databeskyttelsesmyndigheder beføjelse og pligt til i fuld uafhængighed at

undersøge, om videregivelsen af oplysninger til et tredjeland opfylder de krav, der er fastsat

ved direktiv 95/46/EF, sammenholdt med artikel 7, 8 og 47 i chartret om grundlæggende

rettigheder. Domstolen bekræftede dog også, at Domstolen er enekompetent til at fastslå

ugyldigheden af en EU-retsakt, såsom en afgørelse om tilstrækkeligt beskyttelsesniveau, der

er vedtaget af Kommissionen.

Domstolens dom bygger på Kommissionens meddelelse fra 2013 om, hvordan safe harbor-

ordningen fungerer for så vidt angår EU-borgerne og virksomhederne i EU

, hvori

Kommissionen påpegede en række mangler og fremsatte 13 anbefalinger. På grundlag af disse

anbefalinger har Kommissionen siden januar 2014 haft drøftelser med de amerikanske

myndigheder om at etablere en ny og sikrere ordning for den transatlantiske udveksling af

oplysninger.

Efter dommen agter Kommissionen fortsat at nå målet om en ny og forsvarlig ramme for den

transatlantiske videregivelse af personoplysninger. I den forbindelse har den straks genoptaget

og intensiveret sine forhandlinger med den amerikanske regering for at sikre, at en ny ordning

for den transatlantiske videregivelse af personoplysninger er fuldt ud i overensstemmelse med

den standard, som Domstolen har fastsat. En sådan ramme skal derfor indeholde

tilstrækkelige begrænsninger, garantier og mekanismer til domstolskontrol for at sikre den

fortsatte beskyttelse af EU-borgernes personoplysninger, bl.a. i forbindelse med de offentlige

myndigheders mulige adgang af hensyn til statens sikkerhed og opretholdelsen af lov og

orden. I mellemtiden har erhvervslivet udtrykt bekymring om, hvorvidt det fortsat er muligt at

Meddelelse fra Kommissionen til Europa-Parlamentet og Rådet om, hvordan safe harbor-ordningen fungerer

for så vidt angår EU-borgerne og virksomhederne i EU (COM(2013) 847 final af 27.11.2013). Se også

"Meddelelse fra Kommissionen til Europa-Parlamentet og Rådet: Genopbygning af tilliden til

datastrømmene mellem EU og USA" (COM(2013) 846 final af 27.11.2013) og det relaterede memorandum

"Restoring Trust in EU-US data flows – Frequently Asked Questions" (MEMO/13/1059 af 27.11.2013).

kom (2015) 0566 - Ingen titel

videregive oplysninger

. Der er derfor behov for at præcisere, under hvilke betingelser denne

videregivelse fortsat kan finde sted. Det har den 16. oktober fået Artikel 29-Gruppen (det

uafhængige rådgivende organ, der består af repræsentanter for alle medlemsstaternes

databeskyttelsesmyndigheder såvel som Den Europæiske Tilsynsførende for Databeskyttelse)

til at udsende en erklæring

om de første konklusioner, der kan drages af dommen. Denne

erklæring indeholder bl.a. følgende retningslinjer for videregivelse af oplysninger:



Kommissionens ugyldige safe harbor-beslutning kan ikke længere danne grundlag for

videregivelse af oplysninger



i mellemtiden kan standardkontraktbestemmelser og bindende virksomhedsregler

anvendes som grundlag for videregivelse af oplysninger, selv om Artikel 29-Gruppen

også erklærer, at den fortsat vil analysere konsekvenserne af dommen for disse

alternative redskaber.

I erklæringen opfordres medlemsstaterne og EU-institutionerne desuden til at indlede

drøftelser med de amerikanske myndigheder med henblik på at finde retlige og tekniske

løsninger, der vil gøre det muligt at videregive oplysninger. Ifølge Artikel 29-Gruppen kunne

forhandlingerne om en ny safe harbor-ordning indgå i denne løsning.

Artikel 29-Gruppen meddelte, at hvis der ved udgangen af januar 2016 ikke er fundet en

passende løsning med de amerikanske myndigheder, vil databeskyttelsesmyndighederne,

afhængigt af vurderingen af de alternative redskaber til videregivelse af oplysninger, træffe

alle

nødvendige

passende

foranstaltninger,

herunder

koordinerede

håndhævelsesforanstaltninger.

Endelig understregede Artikel 29-Gruppen, at databeskyttelsesmyndighederne, EU-

institutionerne, medlemsstaterne og virksomhederne har et fælles ansvar for at finde holdbare

løsninger til opfyldelse af Domstolens dom. Gruppen har navnlig opfordret virksomhederne

til at overveje at implementere eventuelle retlige og tekniske løsninger, der kan begrænse de

risici, som de måtte støde på i forbindelse med videregivelsen af oplysninger.

Denne meddelelse berører ikke databeskyttelsesmyndighedernes beføjelser og pligt til i fuld

uafhængighed at undersøge, hvorvidt videregivelsen er lovlig

. I meddelelsen fastsættes ingen

Kort efter Schremsafgørelsen gav repræsentanter for forskellige brancheorganisationer bl.a. udtryk for disse

bekymringer på et møde den 14. oktober, der blev afholdt af næstformand Andrus Ansip og kommissærerne

Věra Jourová og Günther Oettinger. Se Daily News af 14. oktober 2015 (MEX/15/5840). Se også "Open

letter on the implementation of the CJEU Judgement on Case C-362/14 Maximillian Schrems v Data

Protection Commissioner" af 13. oktober 2015, der er adresseret til Kommissionens formand, Jean-Claude

Juncker, og underskrevet af diverse europæiske og amerikanske brancheorganisationer og virksomheder:

http://www.digitaleurope.org/DesktopModules/Bring2mind/DMX/Download.aspx?Command=Core_Downl

oad&EntryId=1045&PortalId=0&TabId=353.

Erklæring

fra

Artikel 29-Gruppen,

der

kan

findes

på

følgende

internetadresse:

http://ec.europa.eu/justice/data-protection/article-29/press-material/press-

release/art29_press_material/2015/20151016_wp29_statement_on_schrems_judgement.pdf.

Se artikel 8, stk. 3, i Den Europæiske Unions charter om grundlæggende rettigheder og artikel 16, stk. 2, i

traktaten om Den Europæiske Unions funktionsmåde. Domstolen har også understreget denne uafhængighed

i Schremsafgørelsen.

kom (2015) 0566 - Ingen titel

bindende regler, og de nationale domstoles beføjelser til at fortolke den gældende lovgivning

og til om nødvendigt at indgive en anmodning til Domstolen om en præjudiciel afgørelse

respekteres fuldt ud. Denne meddelelse kan heller ikke danne grundlag for hverken en

individuel eller kollektiv rettighed eller et tilsvarende retskrav.

2. A

LTERNATIVE GRUNDLAG FOR VIDEREGIVELSE AF PERSONOPLYSNINGER TIL

USA

De bestemmelser om international videregivelse af oplysninger, der er fastsat i direktiv

95/46/EF, er baseret på en klar sondring mellem videregivelse til tredjelande, der sikrer et

tilstrækkeligt beskyttelsesniveau (direktivets artikel 25), på den ene side og videregivelse til

tredjelande, der ikke findes at sikre et tilstrækkeligt beskyttelsesniveau (direktivets artikel 26),

på den anden side.

Schremsafgørelsen vedrører de betingelser, under hvilke Kommissionen i henhold til

artikel 25, stk. 6, i direktiv 95/46/EF kan fastslå, at et tredjeland sikrer et tilstrækkeligt

beskyttelsesniveau.

Hvis det tredjeland, hvortil personoplysningerne skal eksporteres fra EU, ikke findes at sikre

et sådant tilstrækkeligt beskyttelsesniveau, er der i artikel 26 i direktiv 95/46/EF fastlagt en

række alternative grundlag, hvorpå videregivelse alligevel kan finde sted. Videregivelse kan

navnlig foretages, hvis den enhed, der er ansvarlig for at afgøre, til hvilket formål og med

hvilke hjælpemidler der må foretages behandling af personoplysninger ("den

registeransvarlige"), gør følgende:



yder tilstrækkelige garantier, som defineret i artikel 26, stk. 2, i direktiv 95/46/EF, for

beskyttelse af enkeltpersoners grundlæggende rettigheder, frihedsrettigheder og ret til

privatlivets fred samt for udøvelsen af disse rettigheder. Disse garantier kan navnlig ydes

ved hjælp af kontraktbestemmelser, der er bindende for dataeksportøren og -importøren

(se afsnit 2.1 og 2.2 nedenfor). Bestemmelserne omfatter standardkontraktbestemmelser,

der er udstedt af Kommissionen, og, for så vidt angår videregivelse mellem de forskellige

enheder i en multinational koncern, bindende virksomhedsregler, der er godkendt af

databeskyttelsesmyndighederne; eller



påberåber sig en af de undtagelser, der udtrykkeligt er anført i artikel 26, stk. 1, litra a) til

f), i direktiv 95/46/EF (se afsnit 2.3 nedenfor).

Sammenlignet med afgørelser om tilstrækkeligt beskyttelsesniveau, der følger af den samlede

vurdering af et givet tredjelands system, og som i princippet kan dække al videregivelse til det

system, har disse alternative grundlag for videregivelse både en mere begrænset rækkevidde

(idet de kun finder anvendelse på bestemte datastrømme) og en bredere dækning (idet de ikke

nødvendigvis er begrænset til et bestemt land). De finder anvendelse på datastrømme, der

gennemføres af særlige enheder, som har besluttet at gøre brug af en af de muligheder, der

gives i artikel 26 i direktiv 95/46/EF. Ved at basere videregivelsen på dette grundlag, og idet

de ikke kan påberåbe sig en konstatering i en kommissionsafgørelse af, at der findes et

kom (2015) 0566 - Ingen titel

tilstrækkeligt beskyttelsesniveau i det pågældende tredjeland, er dataeksportørerne og -

importørerne desuden ansvarlige for at sikre, at videregivelsen overholder direktivets krav.

2.1. Kontraktlige løsninger

For at frembyde tilstrækkelige garantier i henhold til artikel 26, stk. 2, i direktiv 95/46/EF skal

kontraktbestemmelser, som det understreges af Artikel 29-Gruppen, "på tilfredsstillende vis

kompensere for den generelt utilstrækkelige beskyttelse ved at tilvejebringe de centrale

elementer i beskyttelsen, der mangler i enhver given situation"

. Med henblik på at fremme

anvendelsen af sådanne instrumenter i forbindelse med international videregivelse har

Kommissionen i henhold til direktivets artikel 26, stk. 4, godkendt fire sæt

standardkontraktbestemmelser, der anses for at opfylde kravene i direktivets artikel 26, stk. 2.

To sæt standardbestemmelser vedrører videregivelse mellem registeransvarlige

, mens de

andre to sæt vedrører videregivelse mellem en registeransvarlig og en registerfører, der

handler efter dennes anvisninger

. Hvert sæt standardbestemmelser fastsætter de respektive

forpligtelser for dataeksportører og -importører. Disse omfatter såvel forpligtelser, for så vidt

angår bl.a. sikkerhedsforanstaltninger, information til den registrerede i forbindelse med

videregivelse af følsomme oplysninger, anmeldelse til dataeksportøren af anmodninger om

indsigt fra tredjelandenes retshåndhævelsesmyndigheder eller af enhver utilsigtet eller

uautoriseret adgang og den registreredes ret til indsigt i, berigtigelse af og sletning af sine

personoplysninger, som bestemmelser om erstatning til den registrerede i tilfælde af skader

som følge af en af parternes brud på standardkontraktbestemmelserne.

Standardbestemmelserne kræver også, at registrerede i EU har mulighed for ved en

databeskyttelsesmyndighed og/eller en domstol i den medlemsstat, hvor dataeksportøren er

etableret, at påberåbe sig de rettigheder, som de som begunstigede tredjemænd har i kraft af

kontraktbestemmelserne

. Disse rettigheder og forpligtelser er nødvendige i

kontraktbestemmelser, fordi det i modsætning til den situation, hvor Kommissionen har

konstateret et tilstrækkeligt beskyttelsesniveau, ikke kan antages, at dataimportøren i

tredjelandet er underlagt en passende ordning for kontrol og håndhævelse af

databeskyttelsesreglerne.

Se følgende dokument fra Artikel 29-Gruppen: "Videregivelse af personoplysninger til tredjelande:

anvendelse af artikel 25 og 26 i EU's databeskyttelsesdirektiv" (WP 12) af 24. juli 1998, s. 16.

Kommissionens beslutning 2001/497/EF af 15. juni 2001 om standardkontraktbestemmelser for overførsel

af personoplysninger til tredjelande i henhold til direktiv 95/46/EF (EFT L 181 af 4.7.2001, s. 19) og

Kommissionens beslutning 2004/915/EF af 27. december 2004 om ændring af beslutning 2001/497/EF for

at indføre en alternativ standardkontrakt om overførsel af personoplysninger til tredjelande (EUT L 385 af

29.12.2004, s. 74).

Kommissionens beslutning 2002/16/EF af 27. december 2001 om standardkontraktbestemmelser for

overførsel af personoplysninger til registerførere etableret i tredjelande i henhold til direktiv 95/46/EF (EFT

L 6 af 10.1.2002, s. 52) og Kommissionens afgørelse 2010/87/EU af 5. februar 2010 om

standardkontraktbestemmelser for videregivelse af personoplysninger til registerførere etableret i tredjelande

i henhold til Europa-Parlamentets og Rådets direktiv 95/46/EF (EUT L 39 af 12.2.2010, s. 5).

Kommissionens beslutning 2002/16/EF, der blev ophævet ved Kommissionens afgørelse 2010/87/EU, finder

kun anvendelse på kontrakter, der er indgået inden den 15. maj 2010.

Se f.eks. betragtning 6 i Kommissionens beslutning 2004/915/EF og bestemmelse V i bilaget hertil samt

standardbestemmelse 7 i bilaget til Kommissionens afgørelse 2010/87/EU.

kom (2015) 0566 - Ingen titel

Eftersom Kommissionens beslutninger er bindende i alle enkeltheder i medlemsstaterne, vil

indarbejdelsen af standardkontraktbestemmelserne i en kontrakt betyde, at de nationale

myndigheder i princippet har pligt til at acceptere dem. De kan derfor ikke afvise

videregivelsen af oplysninger til et tredjeland alene på det grundlag, at

standardkontraktbestemmelserne ikke frembyder tilstrækkelige garantier. Det berører ikke

deres beføjelser til at undersøge bestemmelserne i lyset af de krav, der er fastsat af Domstolen

i Schremsafgørelsen. I tvivlstilfælde bør de indbringe en sag for en national domstol, der igen

kan indgive en anmodning til Domstolen om en præjudiciel afgørelse. Selv om de fleste

medlemsstaters lovgivning til gennemførelse af direktiv 95/45/EF ikke kræver en

forhåndstilladelse fra de nationale myndigheder i forbindelse med videregivelsen, opererer

nogle medlemsstater med en ordning, hvor anvendelse af standardkontraktbestemmelserne

skal anmeldes og/eller godkendes på forhånd. I de medlemsstater, hvor det er tilfældet, skal

den nationale databeskyttelsesmyndighed sammenligne de faktiske bestemmelser i den

pågældende kontrakt med standardkontraktbestemmelserne og kontrollere, at der ikke er

foretaget nogen ændringer

. Hvis bestemmelserne er blevet anvendt uden ændringer

, gives

tilladelsen i princippet

uden videre

. Som nærmere forklaret nedenfor (se afsnit 2.4)

berører dette ikke eventuelle yderligere foranstaltninger, som dataeksportøren kan være nødt

til at træffe, navnlig efter at have modtaget oplysninger fra dataimportøren om ændringer i

tredjelandets retssystem, der kan forhindre dataimportøren i at opfylde sine forpligtelser efter

kontrakten. Ved anvendelsen af standardkontraktbestemmelser er både dataimportørerne (idet

accepterer

kontraktbestemmelserne)

dataeksportørerne

underlagt

databeskyttelsesmyndighedernes kontrol.

Vedtagelsen af standardkontraktbestemmelserne forhindrer ikke virksomhederne i at anvende

andre instrumenter, såsom kontraktlige ad hoc-ordninger, for at påvise, at videregivelsen

gennemføres med tilstrækkelige garantier som defineret i artikel 26, stk. 2, i direktiv

95/46/EF. Som det fremgår af direktivets artikel 26, stk. 2, skal disse godkendes fra sag til sag

af de nationale myndigheder. Nogle databeskyttelsesmyndigheder har udarbejdet

retningslinjer på dette område, herunder i form af standardiserede kontrakter eller detaljerede

Det bør bemærkes, at det i forslaget til en generel forordning om databeskyttelse (COM(2012) 11 final) er

fastsat, at videregivelse baseret på standardkontraktbestemmelser eller bindende virksomhedsregler, i det

omfang at disse er vedtaget af Kommissionen eller i overensstemmelse med den planlagte

sammenhængsmekanisme, ikke kræver yderligere godkendelse.

Anvendelsen af standardkontraktbestemmelserne forhindrer dog ikke parterne i at aftale at tilføje andre

bestemmelser, så længe disse ikke direkte eller indirekte strider mod de bestemmelser, som Kommissionen

har vedtaget, eller berører de registreredes grundlæggende rettigheder eller frihedsrettigheder. Se følgende

dokument fra Europa-Kommissionen: "Frequently Asked Questions Relating to Transfers of Personal Data

from the EU/EEA to Third Countries" (FAQ B.1.9), s. 28, der kan findes på følgende internetadresse:

http://ec.europa.eu/justice/policies/privacy/docs/international_transfers_faq/international_transfers_faq.pdf.

Hvis en databeskyttelsesmyndighed er i tvivl om, hvorvidt standardkontraktbestemmelserne er forenelige

med direktivets krav, bør den indbringe sagen for en national domstol, der efterfølgende kan forelægge

Domstolen et præjudicielt spørgsmål (jf. § 51, 52, 64 og 65 i Schremsafgørelsen).

Artikel 29-Gruppen har fastlagt en særlig samarbejdsprocedure mellem de forskellige

databeskyttelsesmyndigheder, for så vidt angår godkendelse af kontraktbestemmelser, som en virksomhed

søger at anvende i flere forskellige medlemsstater. Se følgende dokument fra Artikel 29-Gruppen:

"Arbejdsdokument om en samarbejdsprocedure for udstedelse af fælles udtalelser om

'kontraktbestemmelser', der anses for at stemme overens med Kommissionens standardbestemmelser" (WP

226) af 26. november 2014. Se også bestemmelse VII i bilaget til Kommissionens beslutning 2004/915/EF

og standardbestemmelse 10 i bilaget til Kommissionens afgørelse 2010/87/EU.

kom (2015) 0566 - Ingen titel

regler, der skal følges ved udarbejdelsen af bestemmelserne om videregivelse af oplysninger.

De fleste kontrakter, der i øjeblikket anvendes af virksomheder i forbindelse med international

videregivelse af oplysninger, er dog baseret på standardkontraktbestemmelser, der er

godkendt af Kommissionen

2.2. Koncernintern videregivelse

For at videregive personoplysninger fra EU til datterselskaber, der er beliggende uden for EU,

under opfyldelse af kravene i artikel 26, stk. 2, i direktiv 95/46/EF kan en multinational

virksomhed vedtage bindende virksomhedsregler. Denne type regler danner alene grundlag

for koncernintern videregivelse.

Anvendelsen af bindende virksomhedsregler gør det således muligt, uden behov for

kontraktlige ordninger mellem hver enkelt juridisk enhed, frit at udveksle personoplysninger

mellem de forskellige enheder i en global koncern, samtidig med at overholdelsen af det

samme høje beskyttelsesniveau for personoplysninger sikres i hele koncernen ved hjælp af et

fælles sæt bindende regler, der kan håndhæves. Et enkelt sæt regler giver et enklere og mere

effektivt system, der er lettere for de ansatte at gennemføre og for de registrerede at forstå.

For at hjælpe virksomheder med udarbejdelsen af bindende virksomhedsregler har Artikel 29-

Gruppen præciseret de materielle krav (f.eks. formålsbegrænsning, behandlingssikkerhed,

gennemsigtige oplysninger til registrerede, begrænsning af videregivelse uden for koncernen,

den enkeltes ret til indsigt, berigtigelse og indsigelse) og de formelle krav (f.eks. revisioner,

kontrol

med

overholdelse,

håndtering

klager,

samarbejde

med

databeskyttelsesmyndighederne, ansvar og kompetence) til bindende virksomhedsregler, der

er baseret på EU's databeskyttelsesstandarder

. Disse regler er ikke kun bindende for

medlemmerne

den

pågældende

koncern,

men

kan

lighed

med

standardkontraktbestemmelserne ligeledes håndhæves i EU: Enkeltpersoner, hvis oplysninger

behandles af en af koncernens enheder, har som begunstigede tredjemænd ret til at håndhæve

overholdelsen af de bindende virksomhedsregler ved at indgive en klage til en

databeskyttelsesmyndighed og anlægge sag ved en domstol i en medlemsstat. De bindende

virksomhedsregler skal desuden udpege en enhed inden for EU, der påtager sig ansvaret for

brud på reglerne begået af enhver enhed i koncernen uden for EU, der er bundet af disse

regler.

Det bestemmes i de fleste medlemsstaters love til gennemførelse af direktivet, at videregivelse

af oplysninger på grundlag af bindende virksomhedsregler skal godkendes af

databeskyttelsesmyndigheden i hver medlemsstat, hvorfra den multinationale virksomhed

agter at videregive oplysninger. For at lette og fremskynde processen og reducere byrden for

Se følgende dokument fra Artikel 29-Gruppen: "Arbejdsdokument om en samarbejdsprocedure for

udstedelse af fælles udtalelser om 'kontraktbestemmelser', der anses for at stemme overens med

Kommissionens standardbestemmelser" (WP 226) af 26. november 2014, s. 2.

Se følgende dokumenter fra Artikel 29-Gruppen: "Working Document setting up a table with the elements

and principles to be found in Binding Corporate Rules" (WP 153) af 24. juni 2008, "Working Document

setting up a framework for the structure of Binding Corporate Rules" (WP 154) af 24. juni 2008 og

"Working Document on Frequently Asked Questions (FAQs) related to Binding Corporate Rules" (WP 155)

af 24. juni 2008.

kom (2015) 0566 - Ingen titel

ansøgere har Artikel 29-Gruppen udarbejdet et standardansøgningsskema

og en særlig

samarbejdsprocedure mellem de berørte databeskyttelsesmyndigheder

, hvilket omfatter

udpegelsen af en "ledende myndighed", der er ansvarlig for håndtering af

godkendelsesproceduren.

2.3. Undtagelser

I mangel af en afgørelse om tilstrækkeligt beskyttelsesniveau som omhandlet i artikel 25,

stk. 6, i direktiv 95/46/EF og uanset anvendelsen af standardkontraktbestemmelser og/eller

bindende virksomhedsregler kan personoplysninger stadig videregives til enheder, der er

etableret i et tredjeland, såfremt en af de undtagelser, der er fastsat i artikel 26, stk. 1, i

direktiv 95/46/EF, finder anvendelse



den registrerede har givet sit utvetydige samtykke til den foreslåede videregivelse



videregivelsen er nødvendig af hensyn til opfyldelsen af en kontrakt mellem den

registrerede og den registeransvarlige eller af hensyn til gennemførelsen af

foranstaltninger, der træffes på den registreredes anmodning forud for indgåelsen af en

sådan kontrakt



videregivelsen er nødvendig af hensyn til indgåelsen eller udførelsen af en kontrakt,

der i den registreredes interesse er indgået mellem den registeransvarlige og

tredjemand



videregivelsen er nødvendig eller følger af lov eller bestemmelser fastsat med

hjemmel i lov for at beskytte en vigtig samfundsinteresse

eller for, at et retskrav kan

fastlægges, gøres gældende eller forsvares



videregivelsen er nødvendig for at beskytte den registreredes vitale interesser, eller

Se følgende dokument fra Artikel 29-Gruppen: "Standard Application for Approval of Binding Corporate

Rules for the Transfer of Personal Data" (WP 133) af 10. januar 2007.

Se følgende dokument fra Artikel 29-Gruppen: "Working Document Setting Forth a Co-Operation

Procedure for Issuing Common Opinions on Adequate Safeguards Resulting From 'Binding Corporate

Rules'" (WP 107) af 14. april 2005.

Som Artikel 29-Gruppen har understreget, er det nødvendigt, i det omfang at andre bestemmelser i direktiv

95/46/EF indeholder yderligere krav, der er relevante for anvendelsen af disse undtagelser (f.eks.

begrænsningerne i artikel 8 vedrørende behandlingen af følsomme oplysninger), at de pågældende krav

overholdes. Se følgende dokument fra Artikel 29-Gruppen: "Arbejdsdokument om en ensartet fortolkning af

artikel 26, stk. 1, i direktiv 95/46/EF af 24. oktober 1995" (WP 114) af 25. november 2005, s. 8. Se også

følgende dokument fra Europa-Kommissionen: "Frequently Asked Questions Relating to Transfers of

Personal Data from the EU/EEA to Third Countries" (FAQ D.2), s. 50.

Det kan f.eks. omfatte udveksling af oplysninger mellem skatte- eller toldmyndigheder eller mellem

socialsikringsmyndigheder (se betragtning 58 i direktiv 95/46/EF). Udveksling mellem tilsynsorganerne i

sektoren for finansielle tjenesteydelser kan også være omfattet af undtagelsen. Se følgende dokument fra

Artikel 29-Gruppen: "Arbejdsdokument: Videregivelse af personoplysninger til tredjelande: anvendelse af

artikel 25 og 26 i EU's databeskyttelsesdirektiv" (WP 12) af 24. juli 1998, s. 25.

kom (2015) 0566 - Ingen titel



videregivelsen finder sted fra et offentligt register, der ifølge love eller administrative

bestemmelser er beregnet til at informere offentligheden, og som er tilgængeligt for

offentligheden generelt eller for personer, der kan godtgøre at have en legitim

interesse heri, i det omfang de ved lov fastsatte betingelser for offentlig tilgængelighed

er opfyldt i det specifikke tilfælde.

Disse grundlag udgør en undtagelse fra det generelle forbud mod at videregive

personoplysninger til enheder, der er etableret i et tredjeland, hvor beskyttelsesniveauet ikke

er tilstrækkeligt. Faktisk er dataeksportøren ikke forpligtet til at sikre sig, at dataimportøren

yder tilstrækkelig beskyttelse, og behøver normalt ikke at indhente en forhåndstilladelse til

videregivelsen fra de relevante nationale myndigheder. På grund af deres særlige karakter

mener Artikel 29-Gruppen ikke desto mindre, at disse undtagelser skal fortolkes restriktivt

Artikel 29-Gruppen har udsendt adskillige dokumenter med ikke-bindende retningslinjer for

anvendelsen af artikel 26, stk. 1, i direktiv 95/46/EF

. Disse omfatter en række regler for

"bedste praksis", der er udformet med henblik på at tilpasse databeskyttelsesmyndighedernes

håndhævelsestiltag

. Gruppen anbefaler især, at videregivelse af personoplysninger, der kan

kvalificeres som repeteret videregivelse, massevideregivelse eller strukturel videregivelse, bør

gennemføres med tilstrækkelige garantier og, hvor det er muligt, inden for en specifik retlig

ramme såsom standardkontraktbestemmelser eller bindende virksomhedsregler

I denne meddelelse vil Kommissionen kun behandle de undtagelser, der forekommer særligt

relevante for videregivelse i erhvervsmæssig sammenhæng, efter at safe harbor-beslutningen

er fundet ugyldig.

2.3.1. Videregivelser, der er nødvendige af hensyn til opfyldelsen af en kontrakt eller

gennemførelsen af foranstaltninger, der træffes på den registreredes anmodning forud

for indgåelse af en sådan kontrakt (artikel 26, stk. 1, litra b))

Denne undtagelse kan f.eks. finde anvendelse i forbindelse med en hotelreservation, eller når

betalingsoplysninger videregives til et tredjeland med henblik på at foretage en

bankoverførsel. I hvert af disse tilfælde mener Artikel 29-Gruppen dog, at forbindelsen

Se følgende dokument fra Artikel 29-Gruppen: "Arbejdsdokument om en ensartet fortolkning af artikel 26,

stk. 1, i direktiv 95/46/EF af 24. oktober 1995" (WP 114) af 25. november 2005, s. 7 og 17.

Se følgende dokumenter fra Artikel 29-Gruppen: "Arbejdsdokument: Videregivelse af personoplysninger til

tredjelande: anvendelse af artikel 25 og 26 i EU's databeskyttelsesdirektiv" (WP 12) af 24. juli 1998 og

"Arbejdsdokument om en ensartet fortolkning af artikel 26, stk. 1, i direktiv 95/46/EF af 24. oktober 1995"

(WP 114) af 25. november 2005. Se også følgende dokument fra Europa-Kommissionen: "Frequently Asked

Questions Relating to Transfers of Personal Data from the EU/EEA to Third Countries" (FAQ D.1-D.9),

s. 48-54.

Se følgende dokument fra Artikel 29-Gruppen: "Arbejdsdokument om en ensartet fortolkning af artikel 26,

stk. 1, i direktiv 95/46/EF af 24. oktober 1995" (WP 114) af 25. november 2005, s. 8-10.

Se følgende dokument fra Artikel 29-Gruppen: "Arbejdsdokument om en ensartet fortolkning af artikel 26,

stk. 1, i direktiv 95/46/EF af 24. oktober 1995" (WP 114) af 25. november 2005, s. 9. Ifølge gruppen må

massevideregivelse eller repeteret videregivelse kun foretages på grundlag af en undtagelse, hvis det i

praksis ikke er muligt at anvende standardkontraktbestemmelser eller bindende virksomhedsregler, og hvis

den registrerede kun er udsat for en begrænset risiko (f.eks. internationale pengeoverførsler). Se også

følgende dokument fra Europa-Kommissionen: "Frequently Asked Questions Relating to Transfers of

Personal Data from the EU/EEA to Third Countries" (FAQ D.1), s. 49.

kom (2015) 0566 - Ingen titel

mellem den registrerede og kontraktens formål eller den foranstaltning, der træffes forud for

indgåelsen af kontrakten, skal være "tæt og betydelig", "direkte og objektiv"

(nødvendighedstesten)

. Undtagelsen kan desuden ikke finde anvendelse på videregivelse af

supplerende oplysninger, der ikke er nødvendige for at opnå formålet med videregivelsen,

eller videregivelse med et andet formål end at opfylde en kontrakt (f.eks. opfølgende

markedsføring)

. Hvad angår de foranstaltninger, der træffes forud for indgåelsen af en

kontrakt, finder Artikel 29-Gruppen, at undtagelsen kun omfatter de kontakter, der

iværksættes på den registreredes initiativ (f.eks. en anmodning om information om en bestemt

serviceydelse), og ikke dem, der følger af marketinghenvendelser fra den registeransvarlige

2.3.2. Videregivelser, der er nødvendige af hensyn til indgåelsen eller udførelsen af en

kontrakt, der i den registreredes interesse er indgået mellem den registeransvarlige og

tredjemand (artikel 26, stk. 1, litra c))

Denne undtagelse kan f.eks. finde anvendelse, når den registrerede modtager en international

bankoverførsel, eller når et rejsebureau videresender bookingoplysningerne for en flyvning til

et luftfartsselskab. Nødvendighedstesten finder igen anvendelse, idet der i dette tilfælde

kræves en tæt og betydelig forbindelse mellem den registreredes interesse og det formål, der

forfølges med kontrakten.

2.3.3. Videregivelser, der er nødvendige eller følger af lov eller bestemmelser fastsat med

hjemmel i lov for, at et retskrav kan fastlægges, gøres gældende eller forsvares

(artikel 26, stk. 1, litra d))

Denne undtagelse kan f.eks. finde anvendelse, når en virksomhed har brug for at videregive

oplysninger for at tage til genmæle over for et retskrav eller for at fremsætte sådan et krav for

retten eller for en offentlig myndighed. Ligesom de to foregående undtagelser er denne

betinget af nødvendighedstesten

, idet der bør være en tæt forbindelse med retssager eller

retlige (herunder administrative) procedurer.

Ifølge Artikel 29-Gruppen kan undtagelsen kun finde anvendelse, hvis de internationale regler

om samarbejde i straffe- eller civilretlige procedurer vedrørende den pågældende form for

Se følgende dokument fra Artikel 29-Gruppen: "Arbejdsdokument om en ensartet fortolkning af artikel 26,

stk. 1, i direktiv 95/46/EF af 24. oktober 1995" (WP 114) af 25. november 2005, s. 13. Se også følgende

dokument fra Artikel 29-Gruppen: "Udtalelse nr. 6/2002 om videregivelse af passagerlisteoplysninger og

andre oplysninger fra luftfartsselskaber til USA" (WP 66) af 24. oktober 2002.

Se følgende dokumenter fra Artikel 29-Gruppen: "Arbejdsdokument: Videregivelse af personoplysninger til

tredjelande: anvendelse af artikel 25 og 26 i EU's databeskyttelsesdirektiv" (WP 12) af 24. juli 1998, s. 24,

og "Arbejdsdokument om en ensartet fortolkning af artikel 26, stk. 1, i direktiv 95/46/EF af 24. oktober

1995" (WP 114) af 25. november 2005, s. 13.

Se følgende dokument fra Artikel 29-Gruppen: "Arbejdsdokument: Videregivelse af personoplysninger til

tredjelande: anvendelse af artikel 25 og 26 i EU's databeskyttelsesdirektiv" (WP 12) af 24. juli 1998, s. 24.

Se følgende dokument fra Artikel 29-Gruppen: "Arbejdsdokument om en ensartet fortolkning af artikel 26,

stk. 1, i direktiv 95/46/EF af 24. oktober 1995" (WP 114) af 25. november 2005, s. 15. I

beskæftigelsessammenhæng kan undtagelsen f.eks. ikke danne grundlag for videregivelsen af alle de

ansattes oplysninger til koncernens moderselskab, der er beliggende i et tredjeland, under henvisning til en

eventuel fremtidig retssag.

kom (2015) 0566 - Ingen titel

videregivelse er blevet overholdt, herunder de regler, der følger Haagerkonventionen af 18.

marts 1970 (konventionen om bevisoptagelse)

2.3.4. Den registreredes utvetydige forudgående samtykke til den foreslåede

videregivelse (artikel 26, stk. 1, litra a))

Selv om samtykke kan anvendes som grundlag for videregivelse af oplysninger, bør der tages

en række hensyn. Da der skal gives samtykke til den "foreslåede" videregivelse, kræves der

forudgående samtykke for en konkret videregivelse (eller for en konkret kategori af

videregivelser). I tilfælde, hvor der anmodes om samtykke online, har Artikel 29-Gruppen

anbefalet brugen af felter, der krydses af (frem for felter, der allerede er krydset af)

Eftersom samtykket skal være utvetydigt, vil enhver tvivl om, hvorvidt det rent faktisk er

givet, gøre undtagelsen uanvendelig. Det vil sandsynligvis betyde, at mange situationer, hvor

samtykket i bedste fald er givet implicit (f.eks. fordi den registrerede er blevet bekendt med

videregivelsen og ikke har protesteret), ikke vil kunne falde ind under denne undtagelse.

Omvendt kan undtagelsen anvendes i tilfælde, hvor videregiveren står i direkte kontakt med

den registrerede, og hvor den nødvendige information let kan gives, og et utvetydigt samtykke

indhentes

Det fremgår desuden af artikel 2, litra h), i direktiv 95/46/EF, at samtykket skal være frivilligt,

specifikt og informeret. Ifølge Artikel 29-Gruppen betyder den første betingelse, at ethvert

"pres" kan gøre samtykket ugyldigt. Det er især relevant i ansættelsesforhold, hvor det

hierarkiske forhold og arbejdstagerens naturlige afhængighed generelt vil tale imod

anvendelsen af samtykke

. Mere generelt betragtes et samtykke som ugyldigt, hvis den

registrerede afgiver det uden at have haft mulighed for at træffe et reelt valg eller efter at være

blevet stillet over for et fait accompli

Det er meget vigtigt, at den registrerede på forhånd informeres behørigt om, at oplysningerne

kan blive videregivet til et land uden for EU, samt om, hvilket tredjeland der er tale om, og på

Haagerkonventionen om bevisoptagelse i udlandet i sager om civile eller kommercielle spørgsmål,

åbnet for

undertegnelse

den 18. marts 1970, 23 U.S.T. 2555, 847 U.N.T.S. 241. Denne konvention omfatter f.eks.

"pre-trial discovery" eller anmodninger fra den retslige myndighed i en stat til den kompetente myndighed i

en anden stat for at opnå bevis, der er bestemt til brug i en retssag i den anmodende stat.

Se følgende dokument fra Artikel 29-Gruppen: "Arbejdsdokument om en ensartet fortolkning af artikel 26,

stk. 1, i direktiv 95/46/EF af 24. oktober 1995" (WP 114) af 25. november 2005, s. 10, under henvisning til

"Udtalelse nr. 5/2004 om uanmodet kommunikation med henblik på markedsføring, jf. artikel 13 i direktiv

2002/58/EF" (WP 90) af 27. februar 2004, punkt 3.2.

Se følgende dokument fra Artikel 29-Gruppen: "Arbejdsdokument: Videregivelse af personoplysninger til

tredjelande: anvendelse af artikel 25 og 26 i EU's databeskyttelsesdirektiv" (WP 12) af 24. juli 1998, s. 24.

Se følgende dokument fra Artikel 29-Gruppen: "Udtalelse nr. 8/2001 om behandling af personoplysninger i

ansættelsesforhold" (WP 48) af 13. september 2001, s. 3, 23 og 26. Ifølge gruppen skal anvendelsen af

samtykke begrænses til de tilfælde, hvor den ansatte har et reelt valg og som følge heraf kan trække sit

samtykke tilbage uden at lide skade. Se også følgende dokument fra Artikel 29-Gruppen: "Arbejdsdokument

om en ensartet fortolkning af artikel 26, stk. 1, i direktiv 95/46/EF af 24. oktober 1995" (WP 114) af 25.

november 2005, s. 11.

Se følgende dokument fra Artikel 29-Gruppen: "Arbejdsdokument om en ensartet fortolkning af artikel 26,

stk. 1, i direktiv 95/46/EF af 24. oktober 1995" (WP 114) af 25. november 2005, s. 11. Se også følgende

dokument fra Artikel 29-Gruppen: "Udtalelse nr. 6/2002 om videregivelse af passagerlisteoplysninger og

andre oplysninger fra luftfartsselskaber til USA" (WP 66) af 24. oktober 2002.

kom (2015) 0566 - Ingen titel

hvilke vilkår videregivelsen i givet fald vil finde sted (formålet med videregivelsen, navn og

kontaktoplysninger på modtageren osv.). Informationen skal vedrøre den særlige risiko, der

består ved, at den registreredes oplysninger videregives til et tredjeland, der ikke sikrer en

tilstrækkelig beskyttelse

. Som påpeget af Artikel 29-Gruppen bør tilbagetrækning af den

registreredes samtykke, selv om denne handling ikke har tilbagevirkende kraft, i princippet

hindre al yderligere behandling af personoplysningerne

. På grundlag af disse begrænsninger

er Artikel 29-Gruppen af den opfattelse, at samtykke ikke er egnet til at give passende

langsigtede rammer for de registeransvarlige i tilfælde af strukturel videregivelse

2.4. Sammendrag om alternative grundlag for videregivelse af

personoplysninger

Det følger af ovenstående, at virksomheder kan anvende en række forskellige alternative

redskaber i forbindelse med international videregivelse af oplysninger til tredjelande, der ikke

anses for at sikre et tilstrækkeligt beskyttelsesniveau som defineret i artikel 25, stk. 2, i

direktiv 95/46/EF. Efter Schremsafgørelsen har Artikel 29-Gruppen navnlig præciseret, at

standardkontraktbestemmelser og bindende virksomhedsregler kan anvendes til at videregive

oplysninger til USA, mens gruppen fortsætter sit arbejde, og uden at det berører

databeskyttelsesmyndighedernes beføjelser til at undersøge bestemte sager

. Hvad

erhvervslivet angår, har der været forskellige reaktioner på dommen, og nogle koncerner har

valgt at basere deres videregivelse af oplysninger på disse alternative redskaber

Der er dog to vigtige betingelser, der bør påpeges. For det første bør det erindres, at

videregivelse af oplysninger til tredjelande, uanset hvilket retsgrundlag den støttes på, kun

kan ske lovligt, hvis oplysningerne oprindeligt er indsamlet og senere behandlet af den

registeransvarlige, der er etableret i EU, i henhold til de gældende nationale love til

gennemførelse af direktiv 95/46/EF. I direktivet præciseres det udtrykkeligt, at såvel

behandling forud for videregivelsen som selve videregivelsen fuldt ud skal overholde de

bestemmelser, som medlemsstaterne har vedtaget til gennemførelse af direktivets øvrige

bestemmelser

. For det andet er det de registeransvarliges ansvar, såfremt Kommissionen

ikke har konstateret et tilstrækkeligt beskyttelsesniveau, at sikre, at videregivelsen af

oplysninger gennemføres med tilstrækkelige garantier i henhold til direktivets artikel 26,

Se følgende dokument fra Artikel 29-Gruppen: "Arbejdsdokument: Videregivelse af personoplysninger til

tredjelande: anvendelse af artikel 25 og 26 i EU's databeskyttelsesdirektiv" (WP 12) af 24. juli 1998, s. 24.

Se følgende dokument fra Artikel 29-Gruppen: "Udtalelse 15/2011 om definitionen af samtykke" (WP 187)

af 13. juli 2011, s. 9.

Se følgende dokument fra Artikel 29-Gruppen: "Arbejdsdokument om en ensartet fortolkning af artikel 26,

stk. 1, i direktiv 95/46/EF af 24. oktober 1995" (WP 114) af 25. november 2005, s. 11.

Se Artikel 29-Gruppens erklæring af 16. oktober 2015 (fodnote 8 ovenfor).

En række multinationale virksomheder har erklæret, at de baserer deres videregivelse af oplysninger til USA

på alternative redskaber. Se f.eks. erklæringerne fra Microsoft (http://blogs.microsoft.com/on-the-

issues/2015/10/06/a-message-to-our-customers-about-eu-us-safe-harbor/)

Salesforce

(http://www.salesforce.com/company/privacy/data-processing-addendum-faq.jsp).

Andre

amerikanske

virksomheder, såsom Oracle, har sagt, at de giver cloud-kunder mulighed for at lagre deres oplysninger i

Europa, så de ikke sendes til lagring i tredjelande:

http://www.irishtimes.com/business/technology/oracle-

keeps-european-data-within-its-eu-based-data-centres-

1.2408505?mode=print&ot=example.AjaxPageLayout.ot

Se betragtning 60 og artikel 25, stk. 1, i direktiv 95/46/EF.

kom (2015) 0566 - Ingen titel

stk. 2. Denne vurdering skal foretages på grundlag af samtlige forhold, der har indflydelse på

den

pågældende

videregivelse.

særdeleshed

foreskriver

både

standardkontraktbestemmelserne og de bindende virksomhedsregler, at dataimportøren straks

skal underrette dataeksportøren i EU, hvis importøren har grund til at tro, at den gældende

lovgivning i modtagerlandet kan forhindre vedkommende i at opfylde sine forpligtelser. I en

sådan situation påhviler det eksportøren at træffe de foranstaltninger, der måtte være

nødvendige for at sikre beskyttelsen af personoplysningerne

. Der kan være tale om alt lige

fra tekniske, organisatoriske, erhvervsrelaterede eller retlige foranstaltninger

til muligheden

for at suspendere videregivelsen af oplysninger eller at opsige kontrakten. Under hensyntagen

til samtlige forhold, der har indflydelse på videregivelsen, kan dataeksportørerne således være

nødt til at indføre yderligere garantier, der kan supplere dem, som er givet i det gældende

retsgrundlag for videregivelse, for at opfylde kravene i direktivets artikel 26, stk. 2.

Overholdelsen af disse krav skal i sidste ende vurderes af databeskyttelsesmyndighederne fra

sag til sag som led i varetagelsen af deres tilsyns- og håndhævelsesopgaver, herunder i

forbindelse med godkendelsen af kontraktlige ordninger og bindende virksomhedsregler eller

på grundlag af individuelle klager. Selv om visse databeskyttelsesmyndigheder har udtrykt

tvivl om muligheden for at anvende instrumenter til videregivelse, såsom

standardkontraktbestemmelser og bindende virksomhedsregler, i forbindelse med

transatlantiske datastrømme

, meddelte Artikel 29-Gruppen i den erklæring, som den

udsendte efter Schremsafgørelsen, at den fortsat vil analysere konsekvenserne af dommen for

andre redskaber til videregivelse

. Dette berører ikke databeskyttelsesmyndighedernes

beføjelser til at undersøge bestemte sager og til at udøve deres beføjelser med henblik på at

beskytte enkeltpersoner.

Se f.eks. standardbestemmelse 5 i bilaget til Kommissionens afgørelse 2010/87/EU og følgende dokument

fra Artikel 29-Gruppen: "Working Document setting up a framework for the structure of Binding Corporate

Rules" (WP 154) af 24. juni 2008, s. 8.

Se f.eks. følgende retningslinjer fra Den Europæiske Unions Agentur for Net- og Informationssikkerhed

(ENISA): https://resilience.enisa.europa.eu/article-13/guideline-for-minimum-security-

measures/Article_13a_ENISA_Technical_Guideline_On_Security_Measures_v2_0.pdf.

Se f.eks. principerklæringen af 26. oktober 2015 fra databeskyttelseskonferencen for de tyske

databeskyttelsesmyndigheder på forbunds- og delstatsniveau: https://www.datenschutz.hessen.de/ft-

europa.htm#entry4521. Principerklæringen understreger, at Schremsafgørelsen indeholder "strenge

materielle krav", som både Kommissionen og databeskyttelsesmyndighederne skal overholde, og angiver, at

de tyske databeskyttelsesmyndigheder på grundlag af alternative redskaber (standardkontraktbestemmelser

og bindende virksomhedsregler) vil vurdere, hvorvidt videregivelsen af oplysninger er lovlig, og at de ikke

længere vil udstede nye tilladelser til brug af disse redskaber. Parallelt hermed har flere tyske

databeskyttelsesmyndigheder på delstatsniveau udsendt klare advarsler om, at de alternative redskaber til

videregivelse er ved at blive gennemgået juridisk. Se f.eks. de principerklæringer, der er udsendt af

databeskyttelsesmyndighederne i Schleswig-Holstein (https://www.datenschutzzentrum.de/artikel/981-

ULD-Position-Paper-on-the-Judgment-of-the-Court-of-Justice-of-the-European-Union-of-6-October-2015,-

C-36214.html)

Rheinland-Pfalz

(https://www.datenschutz.rlp.de/de/aktuell/2015/images/20151026_Folgerungen_des_LfDI_RLP_zum_EuG

H-Urteil_Safe_Harbor.pdf).

Se Artikel 29-Gruppens erklæring af 16. oktober 2015 (fodnote 8 ovenfor).

kom (2015) 0566 - Ingen titel

3. S

CHREMSAFGØRELSENS KONSEKVENSER FOR AFGØRELSER OM TILSTRÆKKELIGT

BESKYTTELSESNIVEAU

I sin dom sætter Domstolen ikke spørgsmålstegn ved de beføjelser, som Kommissionen i

henhold til artikel 25, stk. 6, i direktiv 95/46/EF har til at afgøre, om et tredjeland sikrer et

tilstrækkeligt beskyttelsesniveau, så længe de krav, der er fastsat af Domstolen, overholdes. I

overensstemmelse med disse krav præciseres og uddybes de betingelser, under hvilke der kan

vedtages afgørelser om tilstrækkeligt beskyttelsesniveau, i forslaget af 2012 til en generel

forordning om databeskyttelse

, der skal erstatte direktiv 95/46/EF. I Schremsafgørelsen

præciserede Domstolen også, at når Kommissionen vedtager en afgørelse om tilstrækkeligt

beskyttelsesniveau, er den bindende for alle medlemsstaterne og deres organer, herunder

databeskyttelsesmyndighederne, så længe den ikke er blevet trukket tilbage, annulleret eller

erklæret ugyldig af Domstolen, der er enekompetent i denne henseende.

Databeskyttelsesmyndighederne er fortsat kompetente til at behandle anmodninger, som

defineret i artikel 28, stk. 4, i direktiv 95/46/EF, om at få kontrolleret, at videregivelsen af

oplysninger opfylder de krav, der er fastsat ved direktivet (som fortolket af Domstolen), men

kan ikke foretage en endelig konstatering. Medlemsstaterne skal tværtimod gøre det muligt at

indbringe sagen for en national domstol, hvilket igen kan udløse Domstolens kompetence i

form af en anmodning om en præjudiciel afgørelse som omhandlet i artikel 267 i traktaten om

Den Europæiske Unions funktionsmåde.

Desuden har Domstolen udtrykkeligt bekræftet, at et tredjelands anvendelse af et

selvcertificeringssystem (som med safe harbor-principperne til beskyttelse af privatlivets fred)

ikke udelukker en konstatering af et tilstrækkeligt beskyttelsesniveau i henhold til artikel 25,

stk. 6, i direktiv 95/46/EF, så længe der er indført effektive afslørings- og kontrolmekanismer,

der gør det muligt i praksis at identificere og sanktionere eventuelle tilsidesættelser af

databeskyttelsesreglerne.

Eftersom safe harbor-beslutningen ikke indeholdt tilstrækkelige konstateringer i denne

henseende, erklærede Domstolen beslutningen ugyldig. Det er således tydeligt, at

videregivelsen af oplysninger mellem EU og USA ikke længere kan foretages på dette

grundlag, dvs. udelukkende under henvisning til safe harbor-principperne. Eftersom

videregivelse af oplysninger til et tredjeland, der ikke sikrer et tilstrækkeligt

beskyttelsesniveau (eller i det mindste et tredjeland, hvor et sådant niveau ikke er fastslået i en

afgørelse fra Kommissionen i henhold til artikel 25, stk. 6, i direktiv 95/46/EF), i princippet er

Europa-Kommissionens forslag til Europa-Parlamentets og Rådets forordning om beskyttelse af fysiske

personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger

(generel forordning om databeskyttelse). Se også Europa-Parlamentets lovgivningsmæssige beslutning af

12. marts 2014 om forslag til Europa-Parlamentets og Rådets forordning om beskyttelse af fysiske personer i

forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (generel

forordning om databeskyttelse) (COM(2012)0011 – C7-0025/2012 – 2012/0011(COD)) og Rådets

forberedelse af en generel indstilling vedrørende forslag til Europa-Parlamentets og Rådets forordning om

beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af

sådanne oplysninger (generel forordning om databeskyttelse) (9565/15). Forslaget befinder sig i øjeblikket

på det sidste trin i lovgivningsprocessen.

kom (2015) 0566 - Ingen titel

forbudt

, vil en sådan videregivelse kun være lovlig, hvis dataeksportøren kan benytte sig af

et af de alternative redskaber, der er beskrevet ovenfor i afsnit 2. I mangel af en afgørelse om

tilstrækkeligt beskyttelsesniveau er det dataeksportørens ansvar under tilsyn af

databeskyttelsesmyndighederne at sikre, at betingelserne for at benytte (et af) disse redskaber

er opfyldt, for så vidt angår den pågældende videregivelse af oplysninger.

Rækkevidden af dommen er begrænset til Kommissionens safe harbor-beslutning. Alle de

andre afgørelser om tilstrækkeligt beskyttelsesniveau

indeholder dog en begrænsning af

databeskyttelsesmyndighedernes beføjelser, der er identisk med artikel 3 i safe harbor-

beslutningen, og som Domstolen har fundet ugyldig

. Kommissionen vil nu drage de

nødvendige konsekvenser af dommen ved inden længe at udarbejde en afgørelse, der skal

vedtages efter den gældende udvalgsprocedure, og som vil erstatte den pågældende

bestemmelse i alle gældende afgørelser om tilstrækkeligt beskyttelsesniveau. Kommissionen

vil desuden give sig i kast med en regelmæssig vurdering af gældende og fremtidige

afgørelser om tilstrækkeligt beskyttelsesniveau, herunder gennem regelmæssig fælles

evaluering af deres funktion sammen med de kompetente myndigheder i det pågældende

tredjeland.

4. K

ONKLUSION

Som Artikel 29-Gruppen har bekræftet, kan alternative redskaber til godkendelse af

datastrømme stadig anvendes af virksomheder med henblik på lovlig videregivelse af

oplysninger til tredjelande såsom USA. Kommissionen finder dog, at en ny og forsvarlig

ramme for videregivelse af personoplysninger til USA fortsat er en vigtig prioritet. En sådan

ramme er den løsning, der mest effektivt kan sikre den fortsatte beskyttelse af EU-borgernes

personoplysninger, når de videregives til USA. Den udgør også den bedste løsning for den

transatlantiske handel, da den involverer en enklere, mindre besværlig og derfor billigere

videregivelsesmetode, navnlig for små og mellemstore virksomheder.

Allerede i 2013 indledte Kommissionen forhandlinger med den amerikanske regering om en

ny ordning for den transatlantiske videregivelse af oplysninger på grundlag af dens 13

anbefalinger

. Der er gjort betydelige fremskridt med hensyn til at bringe parterne tættere på

hinanden, f.eks. hvad angår strengere kontrol med og håndhævelse af safe harbor-

principperne ved henholdsvis det amerikanske handelsministerium og den amerikanske

Federal Trade Commission, større gennemsigtighed for forbrugerne med hensyn til deres

databeskyttelsesrettigheder, lettere og billigere retsmidler i tilfælde af klager og klarere regler

for videregivelse (f.eks. med henblik på behandling eller udlicitering) fra virksomheder, der er

omfattet af safe harbor-ordningen, til virksomheder, der ikke er omfattet af den. Efter at safe

Se betragtning 57 i direktiv 95/46/EF.

På nuværende tidspunkt er der vedtaget afgørelser om tilstrækkeligt beskyttelsesniveau, for så vidt angår

følgende lande og territorier: Andorra, Argentina, Canada, Færøerne, Guernsey, Isle of Man, Israel, Jersey,

New Zealand, Schweiz og Uruguay. Se http://ec.europa.eu/justice/data-protection/international-

transfers/adequacy/index_en.htm.

Se Schremsafgørelsens præmis 99-104.

Se fodnote 4 ovenfor.

kom (2015) 0566 - Ingen titel

harbor-beslutningen er blevet erklæret ugyldig, har Kommissionen intensiveret drøftelserne

med den amerikanske regering for at sikre overholdelsen af de retlige krav, som Domstolen

har formuleret. Kommissionens har til hensigt at afslutte disse drøftelser og nå dette mål inden

for tre måneder.

Indtil den nye transatlantiske ramme er på plads, er virksomhederne nødt til at benytte sig af

de alternative redskaber til videregivelse, der er til rådighed. Denne løsning pålægger dog

dataeksportørerne et større ansvar under tilsyn af databeskyttelsesmyndighederne.

I modsætning til en situation, hvor Kommissionen i en afgørelse har fundet, at et tredjeland

sikrer et tilstrækkeligt databeskyttelsesniveau, som dataeksportørerne kan påberåbe sig, når de

videregiver oplysninger fra EU, har dataeksportørerne ved brug af alternative redskaber

fortsat ansvaret for at kontrollere, at oplysningerne beskyttes effektivt. Det kan f.eks.

indebære, at de skal træffe passende foranstaltninger, hvor det måtte være nødvendigt.

Her vil databeskyttelsesmyndighederne spille en central rolle. Som de myndigheder, der står

for den primære håndhævelse af de registreredes grundlæggende rettigheder, er

databeskyttelsesmyndighederne både ansvarlige for og bemyndigede til i fuld uafhængighed

at føre tilsyn med videregivelsen af oplysninger fra EU til tredjelande. Kommissionen

opfordrer de registeransvarlige til at samarbejde med databeskyttelsesmyndighederne og

dermed hjælpe dem til effektivt at udføre deres tilsynsrolle. Kommissionen vil fortsat arbejde

tæt sammen med Artikel 29-Gruppen for at sikre, at EU's databeskyttelseslovgivning

gennemføres på samme vis i alle medlemsstaterne.