Nyhedsbrev. Corporate Compliance, Persondata og Interne undersøgelser

Transkript

1 Nyhedsbrev Corporate Compliance, Persondata og Interne undersøgelser

2 EU-PARLAMENTET MENER IKKE, AT EU-US PRIVACY SHIELD- AFTALEN ER KLAR TIL ENDELIG VEDTAGELSE EU-Parlamentet har lige anbefalet at forkaste den dataoverførselsaftale, som EU og USA har brugt mange kræfter på at få på plads efter faldet af Safe Harbor-aftalen. EU-Parlamentet har lige anbefalet at forkaste den dataoverførselsaftale, som EU og USA har brugt mange kræfter på at få på plads efter faldet af Safe Harbor-aftalen. Safe Harbor-aftalen, som efter den 6. oktober 2015 ikke længere kan benyttes til overførsler af persondata fra EU til USA, venter fortsat på sin afløser, Privacy Shieldaftalen. Artikel 29-gruppen, som bl.a. består af repræsentanter fra samtlige EU persondatatilsynsmyndigheder, har allerede i april i år udtalt, at aftalen ikke er tilstrækkelig til at yde den nødvendige beskyttelse for de EU-borgere, hvis personoplysninger overføres til USA, og anbefalingen lød på en række forbedringer. Adgang til persondata og masseovervågning problematisk Det ser ud til, at EU-Parlamentet er af den samme opfattelse. EU-Parlamentet har i hvert fald meldt ud, at der er brug for substantielle forbedringer, før aftalen bør træde i stedet for Safe Harbor-aftalen. Særligt anses de amerikanske myndigheders adgang til EU-borgeres persondata og mulighederne for at udføre masseovervågning som problematiske, hvilket i sin tid også gjorde, at EU-Domstolen fastslog, at Safe Harbor-aftalen ikke længere kunne benyttes til overførsel af personoplysninger fra EU til USA. Herudover mener EU-Parlamentet, at den amerikanske persondataombudsmand, som skal behandle klager over ulovlig behandling af EU-borgeres personoplysninger, ikke er tilstrækkelig uafhængig og mangler beføjelser i forhold til de opgaver, vedkommende skal kunne varetage. Den 30. maj 2016 har den Europæiske Tilsynsførende for Databeskyttelse (European Data Protection Supervisor), som fører tilsyn med persondatabeskyttelse i forbindelse med behandling af oplysningerne i fællesskabsinstitutionerne, også udtalt, at en mere "robust" og holdbar løsning end nuværende udkast til Privacy Shield-aftalen er nødvendig. Tilbage til forhandlingsbordet? Såfremt kritikken af Privacy Shield-aftalen tages til efterretning, må EU-Kommissionen og USA tilbage til forhandlingsbordet og forbedre det eksisterende udkast. Det har ellers været hensigten at vedtage aftalen i juni 2016, men det kan ikke udelukkes, at forhandlingspartnerne og de virksomheder, som ønsker at benytte sig af ordningen til overførsel af persondata fra EU til USA, må bevæbne sig med tålmodighed. Overførsler af persondata fra EU til USA kan stadig finde sted på grundlag af 2/6

3 EU-standardkontrakter og Binding Corporate Rules samt forudgående, udtrykkeligt samtykke fra de registrerede eller evt. andre undtagelsesbestemmelser, som kan finde anvendelse på den konkrete overførsel. 3/6

4 EU-STANDARDKONTRAKTER I FARE EFTER FALDET AF SAFE HARBOR Det irske datatilsyn (Data Protection Commissioner) har den 25. maj 2016 i en pressemeddelelse oplyst, at der vil blive forelagt en sag for den højeste retsinstans i Irland (the Irish High Court) om lovligheden af overførsler af persondata fra EU til USA på baggrund af EU-standardkontrakter. Sagen udspringer af en klage fra Maximillian Schrems om overførsel af hans oplysninger på Facebook fra Facebook i Irland til Facebook i USA. Det er samme klager, hvis sag i efteråret 2015 resulterede i invalideringen af Safe Harbor-aftalen. Efter faldet af Safe Harbor begyndte Facebook at bruge EU-standardkontrakter til overførsel af oplysninger til USA. EU-standardkontrakter er godkendt af EU-Kommissionen og kan ifølge både Datatilsynet og Artikel 29-gruppen indtil videre stadig lovligt bruges til sådanne overførsler. Da Maximillian Schrems er overbevist om, at intet kontraktgrundlag kan beskytte hans persondata mod masseovervågning i USA, og udfordringen alene kan løses ved ændringer i amerikansk lovgivning, har han også klaget over Facebooks overførsler til USA på baggrund af EU-standardkontrakter. Det irske datatilsyn har besluttet at gå videre med klagen, og sagen vil blive forelagt den irske højesteret, hvor det forventes, at retten vil forelægge spørgsmål over for EU-Domstolen. Det er uvist, hvornår sagen vil blive behandlet, og hvilket resultat EU-Domstolen forventes at komme med. Sagsbehandlingstiden ved EU-Domstolen kan være ganske lang. Overførsler af personoplysninger til USA på baggrund af EU-standardkontrakter vil stadigvæk være gyldige, mens sagen står på. 4/6

5 GENERALADVOKATEN: DYNAMISKE IP-ADRESSER SKAL ANSES FOR PERSONDATA, HVIS INTERNETUDBYDERE HAR OPLYSNINGER, SOM KAN IDENTIFICERE BRUGEREN I sagen Patrick Breyer mod Bundesrepublik Deutschland (C-582/14) har Bundesgerichthof i Tyskland anmodet EU-Domstolen om at tage stilling til, hvorvidt dynamiske IP-adresser anses for persondata i tilfælde, hvor en websiteudbyder ikke er i stand til at identificere brugeren via dennes dynamiske IP-adresse, men en tredjemand her internetudbyderen har yderligere oplysninger, som vil gøre det muligt. Dynamiske IP-adresser tildeles automatisk til en enhed og bruges kun midlertidigt, dvs. disse bliver ændret næste gang, brugeren benytter sig af forbindelsen til internettet. I modsætning hertil tildeles statiske IP-adresser manuelt, og disse IP-adresser ændrer sig ikke. Lignende spørgsmål er behandlet hos EU-Domstolen tidligere, hvor IP-adresserne blev anset for personoplysninger, som alene kan behandles, herunder opbevares, hvis en række krav i den gældende persondatalovgivning er opfyldt. Tidligere afgørelser har ikke forholdt sig til websiteudbydere Det fremgår af Generaladvokatens udtalelse, at tidligere afgørelser alene har forholdt sig til IP-adresser som personhenførbare oplysninger i forhold til internetudbydere og ikke i forhold til websiteudbydere, som ikke selv har adgang til den nødvendige information til at identificere den konkrete bruger. Emnet er ret aktuelt i Tyskland, hvor der findes tilhængere af hver af de to teorier om muligheden for at identificere en konkret bruger via dennes IP-adresse. Ifølge den "absolutte" eller "objektive" opfattelse skal IP-adresser altid anses for personhenførbare, idet der altid vil være en eller flere tredjemænd, der vil have adgang til yderligere oplysninger, som kan gøre det muligt at identificere brugeren. Den "relative" opfattelse støtter til gengæld det synspunkt, at IP-adresser alene er personhenførbare, hvis den virksomhed eller person, der er i besiddelse af oplysningen om IP-adressen, rent faktisk har mulighed for at tilegne sig de supplerende oplysninger, som er nødvendige for at identificere brugeren, f.eks. hvis oplysningerne lovligt kan tilgås hos eller videregives fra en konkret tredjemand, såsom en internetudbyder. Hvornår er IP-adresser persondata? Generaladvokaten har i forbindelse med sagen udtalt, at dynamiske IP-adresser i den konkrete sag må anses for at være persondata allerede fra det tidspunkt, hvor 5/6

6 internetudbyderen er i besiddelse af yderligere oplysninger om brugeren, som sammen med oplysningerne om IP-adressen kan identificere brugeren. Generaladvokaten har i den forbindelse lagt vægt på, at det fremgår af databeskyttelsesdirektivet (direktiv 95/46 EF), at der for at afgøre, om en person er identificerbar, skal tages "alle de hjælpemidler i betragtning, der med rimelighed kan tænkes bragt i anvendelse for at identificere den pågældende" enten af websiteudbyderen eller af "enhver anden person" i det konkrete tilfælde, internetudbyderen. EU-Domstolen forventes at afgøre sagen i løbet af de næste måneder. Det er ganske sædvanligt, at EU-Domstolen følger Generaladvokatens forslag til afgørelser, hvorfor det også må forventes i denne sag. 6/6