Videresending av personoplysninger til USA
Meddelelse fra Kommisjonen til Europaparlamentet og Rådet om videresending av personopplysninger fra EU til USA i henhold til direktiv 95/46/EF etter Domstolens dom i sak C-362 (Schrems)
Communication from the Commission til the European Parliament and the Council on the Transfer of Personal Data from the EU to the United States of America under Directive 95/46/EC following the Judgment by the Court of Justice in Case C-362/14 (Schrems)
Dansk departementsnotat offentliggjort 2.6.2016
Bakgrunn
BAKGRUNN (fra kommisjonsmeddelelsen, dansk utgave)
Indledning: Annullationen af safe harbor-beslutningen
Den Europæiske Unions Domstol (i det følgende benævnt "Domstolen") bekræfter med sin afgørelse af 6. oktober 2015 i sag C-362/14 (Schrems) betydningen af den grundlæggende ret til beskyttelse af personoplysninger som fastsat i Den Europæiske Unions charter om grundlæggende rettigheder, herunder når disse oplysninger videregives til lande uden for EU.
Videregivelse af personoplysninger er et afgørende element i det transatlantiske forhold. EU og USA er hinandens vigtigste handelspartnere, og videregivelse af oplysninger udgør en stadigt mere integreret del af deres samhandel.
For at fremme disse datastrømme og samtidig sikre et højt beskyttelsesniveau, for så vidt angår personoplysninger, anerkendte Kommissionen med vedtagelsen af Kommissionens beslutning 2000/520/EF af 20. juli 2000 (i det følgende benævnt "safe harbor-beslutningen"), at safe harbor-ordningen var tilstrækkelig. Med denne beslutning, der havde hjemmel i artikel 25, stk. 6, i direktiv 95/46/EF , anerkendte Kommissionen, at safe harbor-principperne til beskyttelse af privatlivets fred og de dertil hørende hyppige spørgsmål fra det amerikanske handelsministerium gav en tilstrækkelig beskyttelse med henblik på videregivelse af personoplysninger fra EU. Som følge heraf kunne personoplysninger frit videregives fra EU-medlemsstaterne til de virksomheder i USA, der havde tilsluttet sig principperne, selv om USA ikke har en generel databeskyttelseslov. Safe harbor-ordningen hvilede på forpligtelser og selvcertificering fra de deltagende virksomheders side. Skønt det er frivilligt at tilslutte sig safe harbor-principperne og de dertil hørende hyppige spørgsmål, er disse bestemmelser bindende efter amerikansk ret for de enheder, der har tilsluttet sig dem, og kan håndhæves af den amerikanske Federal Trade Commission.
I sin dom af 6. oktober 2015 erklærede Domstolen safe harbor-beslutningen ugyldig. Det er på denne baggrund, at nærværende meddelelse har til formål at give et overblik over de alternative redskaber til den transatlantiske videregivelse af oplysninger i henhold til direktiv 95/46/EF, idet der ikke foreligger en afgørelse om tilstrækkeligt beskyttelsesniveau. Meddelelsen beskriver også kort dommens konsekvenser for andre af Kommissionens afgørelser om tilstrækkeligt beskyttelsesniveau. I dommen præciserede Domstolen, at en afgørelse om tilstrækkeligt beskyttelsesniveau som omhandlet i artikel 25, stk. 6, i direktiv 95/46/EF er betinget af, at Kommissionen finder, at der i det berørte tredjeland er et beskyttelsesniveau for personoplysninger, som i det væsentlige svarer til det niveau, der er sikret inden for EU i medfør af direktivet, sammenholdt med chartret om grundlæggende rettigheder, omend det ikke nødvendigvis er identisk med dette niveau. Hvad angår safe harbor-beslutningen, fastslog Domstolen, at den ikke indeholdt tilstrækkelige konstateringer fra Kommissionens side vedrørende begrænsningen af de amerikanske offentlige myndigheders adgang til de oplysninger, der videregives i henhold til beslutningen, og vedrørende tilstedeværelsen af en effektiv domstolsbeskyttelse mod indgreb af denne art. Domstolen præciserede navnlig, at en lovgivning, der gør det muligt for de offentlige myndigheder på generel vis at få adgang til indholdet af elektronisk kommunikation, anses for at udgøre et indgreb i det væsentligste indhold af den grundlæggende ret til respekt for privatlivet. Domstolen bekræftede desuden, at selv hvor der foreligger en afgørelse om tilstrækkeligt beskyttelsesniveau som omhandlet i artikel 25, stk. 6, i direktiv 95/46/EF, har medlemsstaternes databeskyttelsesmyndigheder beføjelse og pligt til i fuld uafhængighed at undersøge, om videregivelsen af oplysninger til et tredjeland opfylder de krav, der er fastsat ved direktiv 95/46/EF, sammenholdt med artikel 7, 8 og 47 i chartret om grundlæggende rettigheder. Domstolen bekræftede dog også, at Domstolen er enekompetent til at fastslå ugyldigheden af en EU-retsakt, såsom en afgørelse om tilstrækkeligt beskyttelsesniveau, der er vedtaget af Kommissionen.
Domstolens dom bygger på Kommissionens meddelelse fra 2013 om, hvordan safe harbor-ordningen fungerer for så vidt angår EU-borgerne og virksomhederne i EU, hvori Kommissionen påpegede en række mangler og fremsatte 13 anbefalinger. På grundlag af disse anbefalinger har Kommissionen siden januar 2014 haft drøftelser med de amerikanske myndigheder om at etablere en ny og sikrere ordning for den transatlantiske udveksling af oplysninger.
Efter dommen agter Kommissionen fortsat at nå målet om en ny og forsvarlig ramme for den transatlantiske videregivelse af personoplysninger. I den forbindelse har den straks genoptaget og intensiveret sine forhandlinger med den amerikanske regering for at sikre, at en ny ordning for den transatlantiske videregivelse af personoplysninger er fuldt ud i overensstemmelse med den standard, som Domstolen har fastsat. En sådan ramme skal derfor indeholde tilstrækkelige begrænsninger, garantier og mekanismer til domstolskontrol for at sikre den fortsatte beskyttelse af EU-borgernes personoplysninger, bl.a. i forbindelse med de offentlige myndigheders mulige adgang af hensyn til statens sikkerhed og opretholdelsen af lov og orden. I mellemtiden har erhvervslivet udtrykt bekymring om, hvorvidt det fortsat er muligt at videregive oplysninger. Der er derfor behov for at præcisere, under hvilke betingelser denne videregivelse fortsat kan finde sted. Det har den 16. oktober fået Artikel 29-Gruppen (det uafhængige rådgivende organ, der består af repræsentanter for alle medlemsstaternes databeskyttelsesmyndigheder såvel som Den Europæiske Tilsynsførende for Databeskyttelse) til at udsende en erklæring om de første konklusioner, der kan drages af dommen. Denne erklæring indeholder bl.a. følgende retningslinjer for videregivelse af oplysninger:
• Kommissionens ugyldige safe harbor-beslutning kan ikke længere danne grundlag for videregivelse af oplysninger
• i mellemtiden kan standardkontraktbestemmelser og bindende virksomhedsregler anvendes som grundlag for videregivelse af oplysninger, selv om Artikel 29-Gruppen også erklærer, at den fortsat vil analysere konsekvenserne af dommen for disse alternative redskaber.
I erklæringen opfordres medlemsstaterne og EU-institutionerne desuden til at indlede drøftelser med de amerikanske myndigheder med henblik på at finde retlige og tekniske løsninger, der vil gøre det muligt at videregive oplysninger. Ifølge Artikel 29-Gruppen kunne forhandlingerne om en ny safe harbor-ordning indgå i denne løsning.
Artikel 29-Gruppen meddelte, at hvis der ved udgangen af januar 2016 ikke er fundet en passende løsning med de amerikanske myndigheder, vil databeskyttelsesmyndighederne, afhængigt af vurderingen af de alternative redskaber til videregivelse af oplysninger, træffe alle de nødvendige og passende foranstaltninger, herunder koordinerede håndhævelsesforanstaltninger.
Endelig understregede Artikel 29-Gruppen, at databeskyttelsesmyndighederne, EU-institutionerne, medlemsstaterne og virksomhederne har et fælles ansvar for at finde holdbare løsninger til opfyldelse af Domstolens dom. Gruppen har navnlig opfordret virksomhederne til at overveje at implementere eventuelle retlige og tekniske løsninger, der kan begrænse de risici, som de måtte støde på i forbindelse med videregivelsen af oplysninger.
Denne meddelelse berører ikke databeskyttelsesmyndighedernes beføjelser og pligt til i fuld uafhængighed at undersøge, hvorvidt videregivelsen er lovlig. I meddelelsen fastsættes ingen bindende regler, og de nationale domstoles beføjelser til at fortolke den gældende lovgivning og til om nødvendigt at indgive en anmodning til Domstolen om en præjudiciel afgørelse respekteres fuldt ud. Denne meddelelse kan heller ikke danne grundlag for hverken en individuel eller kollektiv rettighed eller et tilsvarende retskrav.
Indledning: Annullationen af safe harbor-beslutningen
Den Europæiske Unions Domstol (i det følgende benævnt "Domstolen") bekræfter med sin afgørelse af 6. oktober 2015 i sag C-362/14 (Schrems) betydningen af den grundlæggende ret til beskyttelse af personoplysninger som fastsat i Den Europæiske Unions charter om grundlæggende rettigheder, herunder når disse oplysninger videregives til lande uden for EU.
Videregivelse af personoplysninger er et afgørende element i det transatlantiske forhold. EU og USA er hinandens vigtigste handelspartnere, og videregivelse af oplysninger udgør en stadigt mere integreret del af deres samhandel.
For at fremme disse datastrømme og samtidig sikre et højt beskyttelsesniveau, for så vidt angår personoplysninger, anerkendte Kommissionen med vedtagelsen af Kommissionens beslutning 2000/520/EF af 20. juli 2000 (i det følgende benævnt "safe harbor-beslutningen"), at safe harbor-ordningen var tilstrækkelig. Med denne beslutning, der havde hjemmel i artikel 25, stk. 6, i direktiv 95/46/EF , anerkendte Kommissionen, at safe harbor-principperne til beskyttelse af privatlivets fred og de dertil hørende hyppige spørgsmål fra det amerikanske handelsministerium gav en tilstrækkelig beskyttelse med henblik på videregivelse af personoplysninger fra EU. Som følge heraf kunne personoplysninger frit videregives fra EU-medlemsstaterne til de virksomheder i USA, der havde tilsluttet sig principperne, selv om USA ikke har en generel databeskyttelseslov. Safe harbor-ordningen hvilede på forpligtelser og selvcertificering fra de deltagende virksomheders side. Skønt det er frivilligt at tilslutte sig safe harbor-principperne og de dertil hørende hyppige spørgsmål, er disse bestemmelser bindende efter amerikansk ret for de enheder, der har tilsluttet sig dem, og kan håndhæves af den amerikanske Federal Trade Commission.
I sin dom af 6. oktober 2015 erklærede Domstolen safe harbor-beslutningen ugyldig. Det er på denne baggrund, at nærværende meddelelse har til formål at give et overblik over de alternative redskaber til den transatlantiske videregivelse af oplysninger i henhold til direktiv 95/46/EF, idet der ikke foreligger en afgørelse om tilstrækkeligt beskyttelsesniveau. Meddelelsen beskriver også kort dommens konsekvenser for andre af Kommissionens afgørelser om tilstrækkeligt beskyttelsesniveau. I dommen præciserede Domstolen, at en afgørelse om tilstrækkeligt beskyttelsesniveau som omhandlet i artikel 25, stk. 6, i direktiv 95/46/EF er betinget af, at Kommissionen finder, at der i det berørte tredjeland er et beskyttelsesniveau for personoplysninger, som i det væsentlige svarer til det niveau, der er sikret inden for EU i medfør af direktivet, sammenholdt med chartret om grundlæggende rettigheder, omend det ikke nødvendigvis er identisk med dette niveau. Hvad angår safe harbor-beslutningen, fastslog Domstolen, at den ikke indeholdt tilstrækkelige konstateringer fra Kommissionens side vedrørende begrænsningen af de amerikanske offentlige myndigheders adgang til de oplysninger, der videregives i henhold til beslutningen, og vedrørende tilstedeværelsen af en effektiv domstolsbeskyttelse mod indgreb af denne art. Domstolen præciserede navnlig, at en lovgivning, der gør det muligt for de offentlige myndigheder på generel vis at få adgang til indholdet af elektronisk kommunikation, anses for at udgøre et indgreb i det væsentligste indhold af den grundlæggende ret til respekt for privatlivet. Domstolen bekræftede desuden, at selv hvor der foreligger en afgørelse om tilstrækkeligt beskyttelsesniveau som omhandlet i artikel 25, stk. 6, i direktiv 95/46/EF, har medlemsstaternes databeskyttelsesmyndigheder beføjelse og pligt til i fuld uafhængighed at undersøge, om videregivelsen af oplysninger til et tredjeland opfylder de krav, der er fastsat ved direktiv 95/46/EF, sammenholdt med artikel 7, 8 og 47 i chartret om grundlæggende rettigheder. Domstolen bekræftede dog også, at Domstolen er enekompetent til at fastslå ugyldigheden af en EU-retsakt, såsom en afgørelse om tilstrækkeligt beskyttelsesniveau, der er vedtaget af Kommissionen.
Domstolens dom bygger på Kommissionens meddelelse fra 2013 om, hvordan safe harbor-ordningen fungerer for så vidt angår EU-borgerne og virksomhederne i EU, hvori Kommissionen påpegede en række mangler og fremsatte 13 anbefalinger. På grundlag af disse anbefalinger har Kommissionen siden januar 2014 haft drøftelser med de amerikanske myndigheder om at etablere en ny og sikrere ordning for den transatlantiske udveksling af oplysninger.
Efter dommen agter Kommissionen fortsat at nå målet om en ny og forsvarlig ramme for den transatlantiske videregivelse af personoplysninger. I den forbindelse har den straks genoptaget og intensiveret sine forhandlinger med den amerikanske regering for at sikre, at en ny ordning for den transatlantiske videregivelse af personoplysninger er fuldt ud i overensstemmelse med den standard, som Domstolen har fastsat. En sådan ramme skal derfor indeholde tilstrækkelige begrænsninger, garantier og mekanismer til domstolskontrol for at sikre den fortsatte beskyttelse af EU-borgernes personoplysninger, bl.a. i forbindelse med de offentlige myndigheders mulige adgang af hensyn til statens sikkerhed og opretholdelsen af lov og orden. I mellemtiden har erhvervslivet udtrykt bekymring om, hvorvidt det fortsat er muligt at videregive oplysninger. Der er derfor behov for at præcisere, under hvilke betingelser denne videregivelse fortsat kan finde sted. Det har den 16. oktober fået Artikel 29-Gruppen (det uafhængige rådgivende organ, der består af repræsentanter for alle medlemsstaternes databeskyttelsesmyndigheder såvel som Den Europæiske Tilsynsførende for Databeskyttelse) til at udsende en erklæring om de første konklusioner, der kan drages af dommen. Denne erklæring indeholder bl.a. følgende retningslinjer for videregivelse af oplysninger:
• Kommissionens ugyldige safe harbor-beslutning kan ikke længere danne grundlag for videregivelse af oplysninger
• i mellemtiden kan standardkontraktbestemmelser og bindende virksomhedsregler anvendes som grundlag for videregivelse af oplysninger, selv om Artikel 29-Gruppen også erklærer, at den fortsat vil analysere konsekvenserne af dommen for disse alternative redskaber.
I erklæringen opfordres medlemsstaterne og EU-institutionerne desuden til at indlede drøftelser med de amerikanske myndigheder med henblik på at finde retlige og tekniske løsninger, der vil gøre det muligt at videregive oplysninger. Ifølge Artikel 29-Gruppen kunne forhandlingerne om en ny safe harbor-ordning indgå i denne løsning.
Artikel 29-Gruppen meddelte, at hvis der ved udgangen af januar 2016 ikke er fundet en passende løsning med de amerikanske myndigheder, vil databeskyttelsesmyndighederne, afhængigt af vurderingen af de alternative redskaber til videregivelse af oplysninger, træffe alle de nødvendige og passende foranstaltninger, herunder koordinerede håndhævelsesforanstaltninger.
Endelig understregede Artikel 29-Gruppen, at databeskyttelsesmyndighederne, EU-institutionerne, medlemsstaterne og virksomhederne har et fælles ansvar for at finde holdbare løsninger til opfyldelse af Domstolens dom. Gruppen har navnlig opfordret virksomhederne til at overveje at implementere eventuelle retlige og tekniske løsninger, der kan begrænse de risici, som de måtte støde på i forbindelse med videregivelsen af oplysninger.
Denne meddelelse berører ikke databeskyttelsesmyndighedernes beføjelser og pligt til i fuld uafhængighed at undersøge, hvorvidt videregivelsen er lovlig. I meddelelsen fastsættes ingen bindende regler, og de nationale domstoles beføjelser til at fortolke den gældende lovgivning og til om nødvendigt at indgive en anmodning til Domstolen om en præjudiciel afgørelse respekteres fuldt ud. Denne meddelelse kan heller ikke danne grundlag for hverken en individuel eller kollektiv rettighed eller et tilsvarende retskrav.