Safe Harbor - virksomheder bør skifte til EU's standardkontrakter

EU-Domstolens afgørelse om Safe Harbor-ordningen har skabt usikkerhed om, hvordan virksomheder skal forholde sig til overførsel af persondata til USA. Plesner anbefaler, at virksomheder indgår aftaler på grundlag af EU-Kommissionens standardkontrakter. Særligt for virksomheder med aktiviteter i flere nordiske lande har Plesner og vores nordiske advokatforbindelser udarbejdet et overblik over de forskellige procedurer i Danmark, Sverige, Norge og Finland.

EU-Domstolens afgørelse i Schrems-sagen (C-362/14) har medført, at virksomheder ikke længere kan bruge den særlige Safe Harbor-ordning som grundlag for at overføre persondata til USA. Dommen har skabt usikkerhed om, hvordan danske virksomheder skal forholde sig til overførsel af personoplysninger til USA.

Dommen får konsekvenser for virksomheder, som overfører personoplysninger til USA - eksempelvis berøres alle virksomheder, der overfører data om kunder, medarbejdere eller andre personer til eksempelvis virksomhedens hovedkontor, datterselskab eller underleverandør af cloud-services i USA på grundlag af Safe Harbor. Eksempelvis HR-systemer, whistleblower-ordninger og kundedatabaser påvirkes således af dommen.

EU og USA forhandler om at få en ny og lovlig Safe Harbor-ordning implementeret. Når og hvis forhandlingerne udmunder i en aftale, kan EU-Kommissionen på baggrund af aftalen udstede en ny Safe Harbor-beslutning, som danske virksomheder kan benytte ved overførsler til USA.

Orientering fra Datatilsynet

For at imødegå usikkerheden blandt danske virksomheder har Datatilsynet offentliggjort en orientering om Safe Harbor-dommen. 

Et af de væsentligste punkter i orienteringen er, at hvis der ultimo januar 2016 ikke er indgået en aftale om en ny Safe Harbor-ordning med de amerikanske myndigheder, vil Datatilsynet og de øvrige europæiske datatilsyn "foretage de nødvendige og hensigtsmæssige håndhævelsesforanstaltninger". Hvilke håndhævelsesforanstaltninger Datatilsynet og de øvrige europæiske datatilsyn vil tage i brug, er ikke konkretiseret.  

Meget tyder dog på, at der ikke findes en løsning inden fristen den 31. januar, og Datatilsynet og Plesner anbefaler derfor, at man i stedet allerede nu indgår en aftale med den amerikanske modtager af oplysningerne på grundlag af EU-kommissionens standardkontrakter.

Læs Datatilsynets orientering

Samlet nordisk overblik

Virksomheder med aktiviteter i de nordiske lande skal være særligt opmærksomme på, at de nordiske datatilsynsmyndigheder ikke i alle tilfælde har samme procedure for overførsler til USA. Derfor er det vigtigt at gøre sig klart, hvilken nordisk enhed der er dataansvarlig og reelt foretager overførslen til USA.

Plesner er løbende i dialog med advokatforbindelser i de andre nordiske lande omkring Safe Harbor-problematikken og kan formidle persondataretlig rådgivning for de nordiske lande til virksomheder med sådanne behov.

Plesner har i samarbejde med advokatfirmaer fra Sverige, Norge og Finland udarbejdet en oversigt over procedurer vedrørende dataoverførsel i de fire lande.

Se overblikket "Nordisk tilgang til EU-USA dataoverførsler efter Safe Harbor-dommen"

Seneste nyt om Persondata

Persondata