Evrópudómstóllinn ógildir ákvörðun framkvæmdastjórnar ESB um fullnægjandi vernd persónuupplýsinga samkvæmt samkomulagi sambandsins og Bandaríkjanna um friðhelgisskjöld (e. Privacy Shield)
Uppfært 24. júlí 2020
Evrópudómstóllinn hefur ógilt ákvörðun framkvæmdastjórnar Evrópusambandsins, nr. 2016/1250, sem
fjallar um fullnægjandi vernd persónuupplýsinga samkvæmd Privacy
Shield-samkomulagi Evrópusambandsins og Bandaríkjanna, en samkomulagið felur í
sér að flutningur persónuupplýsinga til fyrirtækja í Bandaríkjunum sem hafa
farið í gegnum tiltekið ferli og fengið skráningu á þar til gerðan lista
bandaríska viðskiptaráðuneytisins hefur verið talinn öruggur. Komst dómstóllinn
að þeirri niðurstöðu að ákvæði bandarískra laga um aðgengi þarlendra yfirvalda
að persónuupplýsingum sem fluttar hafa verið frá Evrópska efnahagssvæðinu feli
í sér takmarkanir á vernd persónuupplýsinga sem séu ekki afmarkaðar með þeim
hætti að unnt sé að líta svo á að hún sé sambærileg þeirri vernd sem reglugerð
(ESB) 2016/679 (almenna persónuverndarreglugerðin) kveður á um.
Eftirlitsaðgerðir sem byggi á slíkum lagaákvæðum fullnægi ekki kröfum um
meðalhóf þar sem þær verði ekki taldar takmarkast við það sem nauðsynlegt er. Í
ákveðnum tilfellum hafi hlutaðeigandi lagaákvæði ekki að geyma neinar
takmarkanir á þeim valdheimildum sem þau kveða á um. Enn fremur geti skráðir
einstaklingar ekki byggt rétt á ákvæðunum fyrir bandarískum dómstólum. Þá séu
réttindi skráðra einstaklinga ekki nægilega tryggð með umboðsmannskerfi því,
sem fjallað er um í ákvörðun framkvæmdastjórnarinnar nr. 2016/1250.
Umboðsmaðurinn sé ekki nægilega sjálfstæður auk þess sem honum hafi ekki verið
tryggð völd til að taka ákvarðanir sem séu bindandi fyrir bandarísku
leyniþjónustuna (e. US intelligence services).
Evrópudómstóllinn staðfesti hins vegar gildi ákvörðunar framkvæmdastjórnarinnar nr. 2010/87 um staðlaða samningsskilmála vegna flutnings persónuupplýsinga til vinnsluaðila sem hafa staðfestu í þriðju ríkjum. Taldi hann ákvörðunina mæla fyrir um virkt fyrirkomulag til að tryggja að veitt sé fullnægjandi vernd við flutning persónuupplýsinga til þriðju ríkja. Dómstóllinn lagði þó áherslu á að tryggja þurfi í framkvæmd að staðlaðir samningsskilmálar veiti sambærilega vernd og almenna persónuverndarreglugerðin kveður á um. Við ákvörðun um hvort undirgangast skuli staðlaða samningsskilmála þurfi ábyrgðaraðilar, sem hyggjast flytja persónuupplýsingar út fyrir EES-svæðið, því að leggja mat á hvort viðtökulandið veiti fullnægjandi vernd. Við slíkt mat skuli meðal annars höfð hliðsjón af efni hinna stöðluðu samningsskilmála, aðstæðum við flutninginn (e. specific circumstances of the transfer) og lagaumhverfi viðtökulandsins. Í því sambandi skuli litið til þeirra þátta sem tilgreindir eru í 2. mgr. 45. gr. almennu persónuverndarreglugerðarinnar, en sú tilgreining sé ekki tæmandi.
Evrópska persónuverndarráðið (European Data Protection Board) fjallaði um niðurstöðu Evrópudómstólsins á 34. fundi sínum hinn 17. júlí 2020 og hefur nú gefið út yfirlýsingu vegna hennar. Þá hefur ráðið gefið út svör við algengum spurningum sem vaknað hafa eftir uppkvaðningu dómsins. Spurningarnar og svörin má finna á vef Evrópska persónuverndarráðsins (á ensku). Búast má við því að skjalið verði uppfært þegar nánari greining hefur farið fram á vettvangi ráðsins.