Baggrund
Efter Edward Snowdens afsløringer af NSAs systematiske overvågning af personer i og udenfor USA (også kendt som PRISM) indgav den østrigske student Max Schrems en klage til datatilsynet i Irland. Han ville have Facebook til at garantere at de data Facebook havde om ham i Irland ikke ville blive overført til USA. Han fremførte at amerikanske virksomheder ikke kan garantere god nok beskyttelse af personlige data fordi de er forpligtet til at udlevere data til amerikanske myndigheder – herunder NSA.
Klagen blev afvist, men i 2015 blev reglerne om datatrafik til USA alligevel strammet og aftalen om Privacy Shield ordningen blev introduceret.
Privacy shield er en aftale der gjorde det muligt for virksomheder på begge sider af atlanten at flytte data fra EU og Schweiz til USA uden at komme i konflikt med reglerne om beskyttelse af personlig data.
Max Schrems var ikke tilfreds og indgav igen en klage med det formål at forhindre Facebook i at flytte hans personlige data fra Irland til USA.
Og så er vi fremme ved nutiden.
Den 17. Juli 2020 gav EU domstolen Max Schrems ret. Dermed annullerede de også gyldigheden af Privacy Shield aftalen.
Hvad sker der så nu?
Lige nu er det ikke længere tilladt at opbevare personlige oplysninger ved amerikanske virksomheder med henvisning til Privacy shield ordningen.
Er du dataansvarlig, eller databehandler der bruger underdatabehandlere i USA, er du nu ansvarlig for selv at indgå en kontrakt med dem som overholder alle GDPR krav.
Det vil sige at alle virksomheder i EU, som benytter de mere end 5300 amerikanske virksomheder, som lige nu er del af Privacy certificeringen enten skal forhandle nye aftaler eller skifte til leverandører fra EU.
- U.S. Department of commerce har meldt ud at de fortsætter Privacy Shield programmet, selvom EU har erklæret det ugyldigt.
- Privacy shield aftalen gælder stadig mellem USA og Schweiz – men forventes at blive suspenderet snart.
- EUs datatilsynsmyndighed har ikke sagt noget endnu – og det har datatilsynet i Danmark heller ikke.
Vi har været i kontakt med Datatilsynet i Danmark, som er vendt tilbage med denne formulering:
Du har den 4. august 2020 pr. mail henvendt dig til Datatilsynet vedrørende tilsynets eventuelle anbefalinger i kølvandet på en nylig afgørelse fra EU-Domstolen. Datatilsynet kan i den forbindelse oplyse, at tilsynet i øjeblikket arbejder på både fortolkning og anbefalinger i forhold til dommen, men da dette arbejde foregår i samarbejde med andre EU-lande og institutioner, kan tilsynet på nuværende tidspunkt ikke udtale sig om, hvornår arbejdet er færdigt.