EUROPA-KOMMISSIONEN

Bruxelles, den 6.11.2015

COM(2015) 566 final

MEDDELELSE FRA KOMMISSIONEN TIL EUROPA-PARLAMENTET OG RÅDET

om videregivelse af personoplysninger fra EU til USA i henhold til direktiv 95/46/EF efter Domstolens dom i sag C-362/14 (Schrems)

MEDDELELSE FRA KOMMISSIONEN TIL EUROPA-PARLAMENTET OG RÅDET

om videregivelse af personoplysninger fra EU til USA i henhold til direktiv 95/46/EF efter Domstolens dom i sag C-362/14 (Schrems)

1. Indledning: Annullationen af safe harbor-beslutningen

Den Europæiske Unions Domstol (i det følgende benævnt "Domstolen") bekræfter med sin afgørelse af 6. oktober 2015 i sag C-362/14 (Schrems) 1 betydningen af den grundlæggende ret til beskyttelse af personoplysninger som fastsat i Den Europæiske Unions charter om grundlæggende rettigheder, herunder når disse oplysninger videregives til lande uden for EU.

Videregivelse af personoplysninger er et afgørende element i det transatlantiske forhold. EU og USA er hinandens vigtigste handelspartnere, og videregivelse af oplysninger udgør en stadigt mere integreret del af deres samhandel.

For at fremme disse datastrømme og samtidig sikre et højt beskyttelsesniveau, for så vidt angår personoplysninger, anerkendte Kommissionen med vedtagelsen af Kommissionens beslutning 2000/520/EF af 20. juli 2000 (i det følgende benævnt "safe harbor-beslutningen"), at safe harbor-ordningen var tilstrækkelig. Med denne beslutning, der havde hjemmel i artikel 25, stk. 6, i direktiv 95/46/EF 2 , anerkendte Kommissionen, at safe harbor-principperne til beskyttelse af privatlivets fred og de dertil hørende hyppige spørgsmål fra det amerikanske handelsministerium gav en tilstrækkelig beskyttelse med henblik på videregivelse af personoplysninger fra EU 3 . Som følge heraf kunne personoplysninger frit videregives fra EU-medlemsstaterne til de virksomheder i USA, der havde tilsluttet sig principperne, selv om USA ikke har en generel databeskyttelseslov. Safe harbor-ordningen hvilede på forpligtelser og selvcertificering fra de deltagende virksomheders side. Skønt det er frivilligt at tilslutte sig safe harbor-principperne og de dertil hørende hyppige spørgsmål, er disse bestemmelser bindende efter amerikansk ret for de enheder, der har tilsluttet sig dem, og kan håndhæves af den amerikanske Federal Trade Commission 4 .

I sin dom af 6. oktober 2015 erklærede Domstolen safe harbor-beslutningen ugyldig. Det er på denne baggrund, at nærværende meddelelse har til formål at give et overblik over de alternative redskaber til den transatlantiske videregivelse af oplysninger i henhold til direktiv 95/46/EF, idet der ikke foreligger en afgørelse om tilstrækkeligt beskyttelsesniveau. Meddelelsen beskriver også kort dommens konsekvenser for andre af Kommissionens afgørelser om tilstrækkeligt beskyttelsesniveau. I dommen præciserede Domstolen, at en afgørelse om tilstrækkeligt beskyttelsesniveau som omhandlet i artikel 25, stk. 6, i direktiv 95/46/EF er betinget af, at Kommissionen finder, at der i det berørte tredjeland er et beskyttelsesniveau for personoplysninger, som i det væsentlige svarer til det niveau, der er sikret inden for EU i medfør af direktivet, sammenholdt med chartret om grundlæggende rettigheder, omend det ikke nødvendigvis er identisk med dette niveau. Hvad angår safe harbor-beslutningen, fastslog Domstolen, at den ikke indeholdt tilstrækkelige konstateringer fra Kommissionens side vedrørende begrænsningen af de amerikanske offentlige myndigheders adgang til de oplysninger, der videregives i henhold til beslutningen, og vedrørende tilstedeværelsen af en effektiv domstolsbeskyttelse mod indgreb af denne art. Domstolen præciserede navnlig, at en lovgivning, der gør det muligt for de offentlige myndigheder på generel vis at få adgang til indholdet af elektronisk kommunikation, anses for at udgøre et indgreb i det væsentligste indhold af den grundlæggende ret til respekt for privatlivet. Domstolen bekræftede desuden, at selv hvor der foreligger en afgørelse om tilstrækkeligt beskyttelsesniveau som omhandlet i artikel 25, stk. 6, i direktiv 95/46/EF, har medlemsstaternes databeskyttelsesmyndigheder beføjelse og pligt til i fuld uafhængighed at undersøge, om videregivelsen af oplysninger til et tredjeland opfylder de krav, der er fastsat ved direktiv 95/46/EF, sammenholdt med artikel 7, 8 og 47 i chartret om grundlæggende rettigheder. Domstolen bekræftede dog også, at Domstolen er enekompetent til at fastslå ugyldigheden af en EU-retsakt, såsom en afgørelse om tilstrækkeligt beskyttelsesniveau, der er vedtaget af Kommissionen.

Domstolens dom bygger på Kommissionens meddelelse fra 2013 om, hvordan safe harbor-ordningen fungerer for så vidt angår EU-borgerne og virksomhederne i EU 5 , hvori Kommissionen påpegede en række mangler og fremsatte 13 anbefalinger. På grundlag af disse anbefalinger har Kommissionen siden januar 2014 haft drøftelser med de amerikanske myndigheder om at etablere en ny og sikrere ordning for den transatlantiske udveksling af oplysninger.

Efter dommen agter Kommissionen fortsat at nå målet om en ny og forsvarlig ramme for den transatlantiske videregivelse af personoplysninger. I den forbindelse har den straks genoptaget og intensiveret sine forhandlinger med den amerikanske regering for at sikre, at en ny ordning for den transatlantiske videregivelse af personoplysninger er fuldt ud i overensstemmelse med den standard, som Domstolen har fastsat. En sådan ramme skal derfor indeholde tilstrækkelige begrænsninger, garantier og mekanismer til domstolskontrol for at sikre den fortsatte beskyttelse af EU-borgernes personoplysninger, bl.a. i forbindelse med de offentlige myndigheders mulige adgang af hensyn til statens sikkerhed og opretholdelsen af lov og orden. I mellemtiden har erhvervslivet udtrykt bekymring om, hvorvidt det fortsat er muligt at videregive oplysninger 6 . Der er derfor behov for at præcisere, under hvilke betingelser denne videregivelse fortsat kan finde sted. Det har den 16. oktober fået Artikel 29-Gruppen (det uafhængige rådgivende organ, der består af repræsentanter for alle medlemsstaternes databeskyttelsesmyndigheder såvel som Den Europæiske Tilsynsførende for Databeskyttelse) til at udsende en erklæring 7 om de første konklusioner, der kan drages af dommen. Denne erklæring indeholder bl.a. følgende retningslinjer for videregivelse af oplysninger:

Kommissionens ugyldige safe harbor-beslutning kan ikke længere danne grundlag for videregivelse af oplysninger

i mellemtiden kan standardkontraktbestemmelser og bindende virksomhedsregler anvendes som grundlag for videregivelse af oplysninger, selv om Artikel 29-Gruppen også erklærer, at den fortsat vil analysere konsekvenserne af dommen for disse alternative redskaber.

I erklæringen opfordres medlemsstaterne og EU-institutionerne desuden til at indlede drøftelser med de amerikanske myndigheder med henblik på at finde retlige og tekniske løsninger, der vil gøre det muligt at videregive oplysninger. Ifølge Artikel 29-Gruppen kunne forhandlingerne om en ny safe harbor-ordning indgå i denne løsning.

Artikel 29-Gruppen meddelte, at hvis der ved udgangen af januar 2016 ikke er fundet en passende løsning med de amerikanske myndigheder, vil databeskyttelsesmyndighederne, afhængigt af vurderingen af de alternative redskaber til videregivelse af oplysninger, træffe alle de nødvendige og passende foranstaltninger, herunder koordinerede håndhævelsesforanstaltninger.

Endelig understregede Artikel 29-Gruppen, at databeskyttelsesmyndighederne, EU-institutionerne, medlemsstaterne og virksomhederne har et fælles ansvar for at finde holdbare løsninger til opfyldelse af Domstolens dom. Gruppen har navnlig opfordret virksomhederne til at overveje at implementere eventuelle retlige og tekniske løsninger, der kan begrænse de risici, som de måtte støde på i forbindelse med videregivelsen af oplysninger.

Denne meddelelse berører ikke databeskyttelsesmyndighedernes beføjelser og pligt til i fuld uafhængighed at undersøge, hvorvidt videregivelsen er lovlig 8 . I meddelelsen fastsættes ingen bindende regler, og de nationale domstoles beføjelser til at fortolke den gældende lovgivning og til om nødvendigt at indgive en anmodning til Domstolen om en præjudiciel afgørelse respekteres fuldt ud. Denne meddelelse kan heller ikke danne grundlag for hverken en individuel eller kollektiv rettighed eller et tilsvarende retskrav.

2. Alternative grundlag for videregivelse af personoplysninger til USA

De bestemmelser om international videregivelse af oplysninger, der er fastsat i direktiv 95/46/EF, er baseret på en klar sondring mellem videregivelse til tredjelande, der sikrer et tilstrækkeligt beskyttelsesniveau (direktivets artikel 25), på den ene side og videregivelse til tredjelande, der ikke findes at sikre et tilstrækkeligt beskyttelsesniveau (direktivets artikel 26), på den anden side.

Schremsafgørelsen vedrører de betingelser, under hvilke Kommissionen i henhold til artikel 25, stk. 6, i direktiv 95/46/EF kan fastslå, at et tredjeland sikrer et tilstrækkeligt beskyttelsesniveau.

Hvis det tredjeland, hvortil personoplysningerne skal eksporteres fra EU, ikke findes at sikre et sådant tilstrækkeligt beskyttelsesniveau, er der i artikel 26 i direktiv 95/46/EF fastlagt en række alternative grundlag, hvorpå videregivelse alligevel kan finde sted. Videregivelse kan navnlig foretages, hvis den enhed, der er ansvarlig for at afgøre, til hvilket formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger ("den registeransvarlige"), gør følgende:

yder tilstrækkelige garantier, som defineret i artikel 26, stk. 2, i direktiv 95/46/EF, for beskyttelse af enkeltpersoners grundlæggende rettigheder, frihedsrettigheder og ret til privatlivets fred samt for udøvelsen af disse rettigheder. Disse garantier kan navnlig ydes ved hjælp af kontraktbestemmelser, der er bindende for dataeksportøren og -importøren (se afsnit 2.1 og 2.2 nedenfor). Bestemmelserne omfatter standardkontraktbestemmelser, der er udstedt af Kommissionen, og, for så vidt angår videregivelse mellem de forskellige enheder i en multinational koncern, bindende virksomhedsregler, der er godkendt af databeskyttelsesmyndighederne; eller

påberåber sig en af de undtagelser, der udtrykkeligt er anført i artikel 26, stk. 1, litra a) til f), i direktiv 95/46/EF (se afsnit 2.3 nedenfor).

Sammenlignet med afgørelser om tilstrækkeligt beskyttelsesniveau, der følger af den samlede vurdering af et givet tredjelands system, og som i princippet kan dække al videregivelse til det system, har disse alternative grundlag for videregivelse både en mere begrænset rækkevidde (idet de kun finder anvendelse på bestemte datastrømme) og en bredere dækning (idet de ikke nødvendigvis er begrænset til et bestemt land). De finder anvendelse på datastrømme, der gennemføres af særlige enheder, som har besluttet at gøre brug af en af de muligheder, der gives i artikel 26 i direktiv 95/46/EF. Ved at basere videregivelsen på dette grundlag, og idet de ikke kan påberåbe sig en konstatering i en kommissionsafgørelse af, at der findes et tilstrækkeligt beskyttelsesniveau i det pågældende tredjeland, er dataeksportørerne og -importørerne desuden ansvarlige for at sikre, at videregivelsen overholder direktivets krav.

2.1. Kontraktlige løsninger

For at frembyde tilstrækkelige garantier i henhold til artikel 26, stk. 2, i direktiv 95/46/EF skal kontraktbestemmelser, som det understreges af Artikel 29-Gruppen, "på tilfredsstillende vis kompensere for den generelt utilstrækkelige beskyttelse ved at tilvejebringe de centrale elementer i beskyttelsen, der mangler i enhver given situation" 9 . Med henblik på at fremme anvendelsen af sådanne instrumenter i forbindelse med international videregivelse har Kommissionen i henhold til direktivets artikel 26, stk. 4, godkendt fire sæt standardkontraktbestemmelser, der anses for at opfylde kravene i direktivets artikel 26, stk. 2. To sæt standardbestemmelser vedrører videregivelse mellem registeransvarlige 10 , mens de andre to sæt vedrører videregivelse mellem en registeransvarlig og en registerfører, der handler efter dennes anvisninger 11 . Hvert sæt standardbestemmelser fastsætter de respektive forpligtelser for dataeksportører og -importører. Disse omfatter såvel forpligtelser, for så vidt angår bl.a. sikkerhedsforanstaltninger, information til den registrerede i forbindelse med videregivelse af følsomme oplysninger, anmeldelse til dataeksportøren af anmodninger om indsigt fra tredjelandenes retshåndhævelsesmyndigheder eller af enhver utilsigtet eller uautoriseret adgang og den registreredes ret til indsigt i, berigtigelse af og sletning af sine personoplysninger, som bestemmelser om erstatning til den registrerede i tilfælde af skader som følge af en af parternes brud på standardkontraktbestemmelserne. Standardbestemmelserne kræver også, at registrerede i EU har mulighed for ved en databeskyttelsesmyndighed og/eller en domstol i den medlemsstat, hvor dataeksportøren er etableret, at påberåbe sig de rettigheder, som de som begunstigede tredjemænd har i kraft af kontraktbestemmelserne 12 . Disse rettigheder og forpligtelser er nødvendige i kontraktbestemmelser, fordi det i modsætning til den situation, hvor Kommissionen har konstateret et tilstrækkeligt beskyttelsesniveau, ikke kan antages, at dataimportøren i tredjelandet er underlagt en passende ordning for kontrol og håndhævelse af databeskyttelsesreglerne.

Eftersom Kommissionens beslutninger er bindende i alle enkeltheder i medlemsstaterne, vil indarbejdelsen af standardkontraktbestemmelserne i en kontrakt betyde, at de nationale myndigheder i princippet har pligt til at acceptere dem. De kan derfor ikke afvise videregivelsen af oplysninger til et tredjeland alene på det grundlag, at standardkontraktbestemmelserne ikke frembyder tilstrækkelige garantier. Det berører ikke deres beføjelser til at undersøge bestemmelserne i lyset af de krav, der er fastsat af Domstolen i Schremsafgørelsen. I tvivlstilfælde bør de indbringe en sag for en national domstol, der igen kan indgive en anmodning til Domstolen om en præjudiciel afgørelse. Selv om de fleste medlemsstaters lovgivning til gennemførelse af direktiv 95/45/EF ikke kræver en forhåndstilladelse fra de nationale myndigheder i forbindelse med videregivelsen, opererer nogle medlemsstater med en ordning, hvor anvendelse af standardkontraktbestemmelserne skal anmeldes og/eller godkendes på forhånd. I de medlemsstater, hvor det er tilfældet, skal den nationale databeskyttelsesmyndighed sammenligne de faktiske bestemmelser i den pågældende kontrakt med standardkontraktbestemmelserne og kontrollere, at der ikke er foretaget nogen ændringer 13 . Hvis bestemmelserne er blevet anvendt uden ændringer 14 , gives tilladelsen i princippet 15 uden videre 16 . Som nærmere forklaret nedenfor (se afsnit 2.4) berører dette ikke eventuelle yderligere foranstaltninger, som dataeksportøren kan være nødt til at træffe, navnlig efter at have modtaget oplysninger fra dataimportøren om ændringer i tredjelandets retssystem, der kan forhindre dataimportøren i at opfylde sine forpligtelser efter kontrakten. Ved anvendelsen af standardkontraktbestemmelser er både dataimportørerne (idet de accepterer kontraktbestemmelserne) og dataeksportørerne underlagt databeskyttelsesmyndighedernes kontrol.

Vedtagelsen af standardkontraktbestemmelserne forhindrer ikke virksomhederne i at anvende andre instrumenter, såsom kontraktlige ad hoc-ordninger, for at påvise, at videregivelsen gennemføres med tilstrækkelige garantier som defineret i artikel 26, stk. 2, i direktiv 95/46/EF. Som det fremgår af direktivets artikel 26, stk. 2, skal disse godkendes fra sag til sag af de nationale myndigheder. Nogle databeskyttelsesmyndigheder har udarbejdet retningslinjer på dette område, herunder i form af standardiserede kontrakter eller detaljerede regler, der skal følges ved udarbejdelsen af bestemmelserne om videregivelse af oplysninger. De fleste kontrakter, der i øjeblikket anvendes af virksomheder i forbindelse med international videregivelse af oplysninger, er dog baseret på standardkontraktbestemmelser, der er godkendt af Kommissionen 17 .

2.2. Koncernintern videregivelse

For at videregive personoplysninger fra EU til datterselskaber, der er beliggende uden for EU, under opfyldelse af kravene i artikel 26, stk. 2, i direktiv 95/46/EF kan en multinational virksomhed vedtage bindende virksomhedsregler. Denne type regler danner alene grundlag for koncernintern videregivelse.

Anvendelsen af bindende virksomhedsregler gør det således muligt, uden behov for kontraktlige ordninger mellem hver enkelt juridisk enhed, frit at udveksle personoplysninger mellem de forskellige enheder i en global koncern, samtidig med at overholdelsen af det samme høje beskyttelsesniveau for personoplysninger sikres i hele koncernen ved hjælp af et fælles sæt bindende regler, der kan håndhæves. Et enkelt sæt regler giver et enklere og mere effektivt system, der er lettere for de ansatte at gennemføre og for de registrerede at forstå. For at hjælpe virksomheder med udarbejdelsen af bindende virksomhedsregler har Artikel 29-Gruppen præciseret de materielle krav (f.eks. formålsbegrænsning, behandlingssikkerhed, gennemsigtige oplysninger til registrerede, begrænsning af videregivelse uden for koncernen, den enkeltes ret til indsigt, berigtigelse og indsigelse) og de formelle krav (f.eks. revisioner, kontrol med overholdelse, håndtering af klager, samarbejde med databeskyttelsesmyndighederne, ansvar og kompetence) til bindende virksomhedsregler, der er baseret på EU's databeskyttelsesstandarder 18 . Disse regler er ikke kun bindende for medlemmerne af den pågældende koncern, men kan i lighed med standardkontraktbestemmelserne ligeledes håndhæves i EU: Enkeltpersoner, hvis oplysninger behandles af en af koncernens enheder, har som begunstigede tredjemænd ret til at håndhæve overholdelsen af de bindende virksomhedsregler ved at indgive en klage til en databeskyttelsesmyndighed og anlægge sag ved en domstol i en medlemsstat. De bindende virksomhedsregler skal desuden udpege en enhed inden for EU, der påtager sig ansvaret for brud på reglerne begået af enhver enhed i koncernen uden for EU, der er bundet af disse regler.

Det bestemmes i de fleste medlemsstaters love til gennemførelse af direktivet, at videregivelse af oplysninger på grundlag af bindende virksomhedsregler skal godkendes af databeskyttelsesmyndigheden i hver medlemsstat, hvorfra den multinationale virksomhed agter at videregive oplysninger. For at lette og fremskynde processen og reducere byrden for ansøgere har Artikel 29-Gruppen udarbejdet et standardansøgningsskema 19 og en særlig samarbejdsprocedure mellem de berørte databeskyttelsesmyndigheder 20 , hvilket omfatter udpegelsen af en "ledende myndighed", der er ansvarlig for håndtering af godkendelsesproceduren.

2.3. Undtagelser

I mangel af en afgørelse om tilstrækkeligt beskyttelsesniveau som omhandlet i artikel 25, stk. 6, i direktiv 95/46/EF og uanset anvendelsen af standardkontraktbestemmelser og/eller bindende virksomhedsregler kan personoplysninger stadig videregives til enheder, der er etableret i et tredjeland, såfremt en af de undtagelser, der er fastsat i artikel 26, stk. 1, i direktiv 95/46/EF, finder anvendelse 21 :

den registrerede har givet sit utvetydige samtykke til den foreslåede videregivelse

videregivelsen er nødvendig af hensyn til opfyldelsen af en kontrakt mellem den registrerede og den registeransvarlige eller af hensyn til gennemførelsen af foranstaltninger, der træffes på den registreredes anmodning forud for indgåelsen af en sådan kontrakt

videregivelsen er nødvendig af hensyn til indgåelsen eller udførelsen af en kontrakt, der i den registreredes interesse er indgået mellem den registeransvarlige og tredjemand

videregivelsen er nødvendig eller følger af lov eller bestemmelser fastsat med hjemmel i lov for at beskytte en vigtig samfundsinteresse 22 eller for, at et retskrav kan fastlægges, gøres gældende eller forsvares

videregivelsen er nødvendig for at beskytte den registreredes vitale interesser, eller

videregivelsen finder sted fra et offentligt register, der ifølge love eller administrative bestemmelser er beregnet til at informere offentligheden, og som er tilgængeligt for offentligheden generelt eller for personer, der kan godtgøre at have en legitim interesse heri, i det omfang de ved lov fastsatte betingelser for offentlig tilgængelighed er opfyldt i det specifikke tilfælde.

Disse grundlag udgør en undtagelse fra det generelle forbud mod at videregive personoplysninger til enheder, der er etableret i et tredjeland, hvor beskyttelsesniveauet ikke er tilstrækkeligt. Faktisk er dataeksportøren ikke forpligtet til at sikre sig, at dataimportøren yder tilstrækkelig beskyttelse, og behøver normalt ikke at indhente en forhåndstilladelse til videregivelsen fra de relevante nationale myndigheder. På grund af deres særlige karakter mener Artikel 29-Gruppen ikke desto mindre, at disse undtagelser skal fortolkes restriktivt 23 .

Artikel 29-Gruppen har udsendt adskillige dokumenter med ikke-bindende retningslinjer for anvendelsen af artikel 26, stk. 1, i direktiv 95/46/EF 24 . Disse omfatter en række regler for "bedste praksis", der er udformet med henblik på at tilpasse databeskyttelsesmyndighedernes håndhævelsestiltag 25 . Gruppen anbefaler især, at videregivelse af personoplysninger, der kan kvalificeres som repeteret videregivelse, massevideregivelse eller strukturel videregivelse, bør gennemføres med tilstrækkelige garantier og, hvor det er muligt, inden for en specifik retlig ramme såsom standardkontraktbestemmelser eller bindende virksomhedsregler 26 .

I denne meddelelse vil Kommissionen kun behandle de undtagelser, der forekommer særligt relevante for videregivelse i erhvervsmæssig sammenhæng, efter at safe harbor-beslutningen er fundet ugyldig.

2.3.1. Videregivelser, der er nødvendige af hensyn til opfyldelsen af en kontrakt eller gennemførelsen af foranstaltninger, der træffes på den registreredes anmodning forud for indgåelse af en sådan kontrakt (artikel 26, stk. 1, litra b))

Denne undtagelse kan f.eks. finde anvendelse i forbindelse med en hotelreservation, eller når betalingsoplysninger videregives til et tredjeland med henblik på at foretage en bankoverførsel. I hvert af disse tilfælde mener Artikel 29-Gruppen dog, at forbindelsen mellem den registrerede og kontraktens formål eller den foranstaltning, der træffes forud for indgåelsen af kontrakten, skal være "tæt og betydelig", "direkte og objektiv" (nødvendighedstesten) 27 . Undtagelsen kan desuden ikke finde anvendelse på videregivelse af supplerende oplysninger, der ikke er nødvendige for at opnå formålet med videregivelsen, eller videregivelse med et andet formål end at opfylde en kontrakt (f.eks. opfølgende markedsføring) 28 . Hvad angår de foranstaltninger, der træffes forud for indgåelsen af en kontrakt, finder Artikel 29-Gruppen, at undtagelsen kun omfatter de kontakter, der iværksættes på den registreredes initiativ (f.eks. en anmodning om information om en bestemt serviceydelse), og ikke dem, der følger af marketinghenvendelser fra den registeransvarlige 29 .

2.3.2. Videregivelser, der er nødvendige af hensyn til indgåelsen eller udførelsen af en kontrakt, der i den registreredes interesse er indgået mellem den registeransvarlige og tredjemand (artikel 26, stk. 1, litra c))

Denne undtagelse kan f.eks. finde anvendelse, når den registrerede modtager en international bankoverførsel, eller når et rejsebureau videresender bookingoplysningerne for en flyvning til et luftfartsselskab. Nødvendighedstesten finder igen anvendelse, idet der i dette tilfælde kræves en tæt og betydelig forbindelse mellem den registreredes interesse og det formål, der forfølges med kontrakten.

2.3.3. Videregivelser, der er nødvendige eller følger af lov eller bestemmelser fastsat med hjemmel i lov for, at et retskrav kan fastlægges, gøres gældende eller forsvares (artikel 26, stk. 1, litra d))

Denne undtagelse kan f.eks. finde anvendelse, når en virksomhed har brug for at videregive oplysninger for at tage til genmæle over for et retskrav eller for at fremsætte sådan et krav for retten eller for en offentlig myndighed. Ligesom de to foregående undtagelser er denne betinget af nødvendighedstesten 30 , idet der bør være en tæt forbindelse med retssager eller retlige (herunder administrative) procedurer.

Ifølge Artikel 29-Gruppen kan undtagelsen kun finde anvendelse, hvis de internationale regler om samarbejde i straffe- eller civilretlige procedurer vedrørende den pågældende form for videregivelse er blevet overholdt, herunder de regler, der følger Haagerkonventionen af 18. marts 1970 (konventionen om bevisoptagelse) 31 .

2.3.4. Den registreredes utvetydige forudgående samtykke til den foreslåede videregivelse (artikel 26, stk. 1, litra a))

Selv om samtykke kan anvendes som grundlag for videregivelse af oplysninger, bør der tages en række hensyn. Da der skal gives samtykke til den "foreslåede" videregivelse, kræves der forudgående samtykke for en konkret videregivelse (eller for en konkret kategori af videregivelser). I tilfælde, hvor der anmodes om samtykke online, har Artikel 29-Gruppen anbefalet brugen af felter, der krydses af (frem for felter, der allerede er krydset af) 32 . Eftersom samtykket skal være utvetydigt, vil enhver tvivl om, hvorvidt det rent faktisk er givet, gøre undtagelsen uanvendelig. Det vil sandsynligvis betyde, at mange situationer, hvor samtykket i bedste fald er givet implicit (f.eks. fordi den registrerede er blevet bekendt med videregivelsen og ikke har protesteret), ikke vil kunne falde ind under denne undtagelse. Omvendt kan undtagelsen anvendes i tilfælde, hvor videregiveren står i direkte kontakt med den registrerede, og hvor den nødvendige information let kan gives, og et utvetydigt samtykke indhentes 33 .

Det fremgår desuden af artikel 2, litra h), i direktiv 95/46/EF, at samtykket skal være frivilligt, specifikt og informeret. Ifølge Artikel 29-Gruppen betyder den første betingelse, at ethvert "pres" kan gøre samtykket ugyldigt. Det er især relevant i ansættelsesforhold, hvor det hierarkiske forhold og arbejdstagerens naturlige afhængighed generelt vil tale imod anvendelsen af samtykke 34 . Mere generelt betragtes et samtykke som ugyldigt, hvis den registrerede afgiver det uden at have haft mulighed for at træffe et reelt valg eller efter at være blevet stillet over for et fait accompli 35 .

Det er meget vigtigt, at den registrerede på forhånd informeres behørigt om, at oplysningerne kan blive videregivet til et land uden for EU, samt om, hvilket tredjeland der er tale om, og på hvilke vilkår videregivelsen i givet fald vil finde sted (formålet med videregivelsen, navn og kontaktoplysninger på modtageren osv.). Informationen skal vedrøre den særlige risiko, der består ved, at den registreredes oplysninger videregives til et tredjeland, der ikke sikrer en tilstrækkelig beskyttelse 36 . Som påpeget af Artikel 29-Gruppen bør tilbagetrækning af den registreredes samtykke, selv om denne handling ikke har tilbagevirkende kraft, i princippet hindre al yderligere behandling af personoplysningerne 37 . På grundlag af disse begrænsninger er Artikel 29-Gruppen af den opfattelse, at samtykke ikke er egnet til at give passende langsigtede rammer for de registeransvarlige i tilfælde af strukturel videregivelse 38 .

2.4. Sammendrag om alternative grundlag for videregivelse af personoplysninger

Det følger af ovenstående, at virksomheder kan anvende en række forskellige alternative redskaber i forbindelse med international videregivelse af oplysninger til tredjelande, der ikke anses for at sikre et tilstrækkeligt beskyttelsesniveau som defineret i artikel 25, stk. 2, i direktiv 95/46/EF. Efter Schremsafgørelsen har Artikel 29-Gruppen navnlig præciseret, at standardkontraktbestemmelser og bindende virksomhedsregler kan anvendes til at videregive oplysninger til USA, mens gruppen fortsætter sit arbejde, og uden at det berører databeskyttelsesmyndighedernes beføjelser til at undersøge bestemte sager 39 . Hvad erhvervslivet angår, har der været forskellige reaktioner på dommen, og nogle koncerner har valgt at basere deres videregivelse af oplysninger på disse alternative redskaber 40 .

Der er dog to vigtige betingelser, der bør påpeges. For det første bør det erindres, at videregivelse af oplysninger til tredjelande, uanset hvilket retsgrundlag den støttes på, kun kan ske lovligt, hvis oplysningerne oprindeligt er indsamlet og senere behandlet af den registeransvarlige, der er etableret i EU, i henhold til de gældende nationale love til gennemførelse af direktiv 95/46/EF. I direktivet præciseres det udtrykkeligt, at såvel behandling forud for videregivelsen som selve videregivelsen fuldt ud skal overholde de bestemmelser, som medlemsstaterne har vedtaget til gennemførelse af direktivets øvrige bestemmelser 41 . For det andet er det de registeransvarliges ansvar, såfremt Kommissionen ikke har konstateret et tilstrækkeligt beskyttelsesniveau, at sikre, at videregivelsen af oplysninger gennemføres med tilstrækkelige garantier i henhold til direktivets artikel 26, stk. 2. Denne vurdering skal foretages på grundlag af samtlige forhold, der har indflydelse på den pågældende videregivelse. I særdeleshed foreskriver både standardkontraktbestemmelserne og de bindende virksomhedsregler, at dataimportøren straks skal underrette dataeksportøren i EU, hvis importøren har grund til at tro, at den gældende lovgivning i modtagerlandet kan forhindre vedkommende i at opfylde sine forpligtelser. I en sådan situation påhviler det eksportøren at træffe de foranstaltninger, der måtte være nødvendige for at sikre beskyttelsen af personoplysningerne 42 . Der kan være tale om alt lige fra tekniske, organisatoriske, erhvervsrelaterede eller retlige foranstaltninger 43 til muligheden for at suspendere videregivelsen af oplysninger eller at opsige kontrakten. Under hensyntagen til samtlige forhold, der har indflydelse på videregivelsen, kan dataeksportørerne således være nødt til at indføre yderligere garantier, der kan supplere dem, som er givet i det gældende retsgrundlag for videregivelse, for at opfylde kravene i direktivets artikel 26, stk. 2.

Overholdelsen af disse krav skal i sidste ende vurderes af databeskyttelsesmyndighederne fra sag til sag som led i varetagelsen af deres tilsyns- og håndhævelsesopgaver, herunder i forbindelse med godkendelsen af kontraktlige ordninger og bindende virksomhedsregler eller på grundlag af individuelle klager. Selv om visse databeskyttelsesmyndigheder har udtrykt tvivl om muligheden for at anvende instrumenter til videregivelse, såsom standardkontraktbestemmelser og bindende virksomhedsregler, i forbindelse med transatlantiske datastrømme 44 , meddelte Artikel 29-Gruppen i den erklæring, som den udsendte efter Schremsafgørelsen, at den fortsat vil analysere konsekvenserne af dommen for andre redskaber til videregivelse 45 . Dette berører ikke databeskyttelsesmyndighedernes beføjelser til at undersøge bestemte sager og til at udøve deres beføjelser med henblik på at beskytte enkeltpersoner.

3. Schremsafgørelsens konsekvenser for afgørelser om tilstrækkeligt beskyttelsesniveau

I sin dom sætter Domstolen ikke spørgsmålstegn ved de beføjelser, som Kommissionen i henhold til artikel 25, stk. 6, i direktiv 95/46/EF har til at afgøre, om et tredjeland sikrer et tilstrækkeligt beskyttelsesniveau, så længe de krav, der er fastsat af Domstolen, overholdes. I overensstemmelse med disse krav præciseres og uddybes de betingelser, under hvilke der kan vedtages afgørelser om tilstrækkeligt beskyttelsesniveau, i forslaget af 2012 til en generel forordning om databeskyttelse 46 , der skal erstatte direktiv 95/46/EF. I Schremsafgørelsen præciserede Domstolen også, at når Kommissionen vedtager en afgørelse om tilstrækkeligt beskyttelsesniveau, er den bindende for alle medlemsstaterne og deres organer, herunder databeskyttelsesmyndighederne, så længe den ikke er blevet trukket tilbage, annulleret eller erklæret ugyldig af Domstolen, der er enekompetent i denne henseende. Databeskyttelsesmyndighederne er fortsat kompetente til at behandle anmodninger, som defineret i artikel 28, stk. 4, i direktiv 95/46/EF, om at få kontrolleret, at videregivelsen af oplysninger opfylder de krav, der er fastsat ved direktivet (som fortolket af Domstolen), men kan ikke foretage en endelig konstatering. Medlemsstaterne skal tværtimod gøre det muligt at indbringe sagen for en national domstol, hvilket igen kan udløse Domstolens kompetence i form af en anmodning om en præjudiciel afgørelse som omhandlet i artikel 267 i traktaten om Den Europæiske Unions funktionsmåde.

Desuden har Domstolen udtrykkeligt bekræftet, at et tredjelands anvendelse af et selvcertificeringssystem (som med safe harbor-principperne til beskyttelse af privatlivets fred) ikke udelukker en konstatering af et tilstrækkeligt beskyttelsesniveau i henhold til artikel 25, stk. 6, i direktiv 95/46/EF, så længe der er indført effektive afslørings- og kontrolmekanismer, der gør det muligt i praksis at identificere og sanktionere eventuelle tilsidesættelser af databeskyttelsesreglerne.

Eftersom safe harbor-beslutningen ikke indeholdt tilstrækkelige konstateringer i denne henseende, erklærede Domstolen beslutningen ugyldig. Det er således tydeligt, at videregivelsen af oplysninger mellem EU og USA ikke længere kan foretages på dette grundlag, dvs. udelukkende under henvisning til safe harbor-principperne. Eftersom videregivelse af oplysninger til et tredjeland, der ikke sikrer et tilstrækkeligt beskyttelsesniveau (eller i det mindste et tredjeland, hvor et sådant niveau ikke er fastslået i en afgørelse fra Kommissionen i henhold til artikel 25, stk. 6, i direktiv 95/46/EF), i princippet er forbudt 47 , vil en sådan videregivelse kun være lovlig, hvis dataeksportøren kan benytte sig af et af de alternative redskaber, der er beskrevet ovenfor i afsnit 2. I mangel af en afgørelse om tilstrækkeligt beskyttelsesniveau er det dataeksportørens ansvar under tilsyn af databeskyttelsesmyndighederne at sikre, at betingelserne for at benytte (et af) disse redskaber er opfyldt, for så vidt angår den pågældende videregivelse af oplysninger.

Rækkevidden af dommen er begrænset til Kommissionens safe harbor-beslutning. Alle de andre afgørelser om tilstrækkeligt beskyttelsesniveau 48 indeholder dog en begrænsning af databeskyttelsesmyndighedernes beføjelser, der er identisk med artikel 3 i safe harbor-beslutningen, og som Domstolen har fundet ugyldig 49 . Kommissionen vil nu drage de nødvendige konsekvenser af dommen ved inden længe at udarbejde en afgørelse, der skal vedtages efter den gældende udvalgsprocedure, og som vil erstatte den pågældende bestemmelse i alle gældende afgørelser om tilstrækkeligt beskyttelsesniveau. Kommissionen vil desuden give sig i kast med en regelmæssig vurdering af gældende og fremtidige afgørelser om tilstrækkeligt beskyttelsesniveau, herunder gennem regelmæssig fælles evaluering af deres funktion sammen med de kompetente myndigheder i det pågældende tredjeland.

4. Konklusion

Som Artikel 29-Gruppen har bekræftet, kan alternative redskaber til godkendelse af datastrømme stadig anvendes af virksomheder med henblik på lovlig videregivelse af oplysninger til tredjelande såsom USA. Kommissionen finder dog, at en ny og forsvarlig ramme for videregivelse af personoplysninger til USA fortsat er en vigtig prioritet. En sådan ramme er den løsning, der mest effektivt kan sikre den fortsatte beskyttelse af EU-borgernes personoplysninger, når de videregives til USA. Den udgør også den bedste løsning for den transatlantiske handel, da den involverer en enklere, mindre besværlig og derfor billigere videregivelsesmetode, navnlig for små og mellemstore virksomheder.

Allerede i 2013 indledte Kommissionen forhandlinger med den amerikanske regering om en ny ordning for den transatlantiske videregivelse af oplysninger på grundlag af dens 13 anbefalinger 50 . Der er gjort betydelige fremskridt med hensyn til at bringe parterne tættere på hinanden, f.eks. hvad angår strengere kontrol med og håndhævelse af safe harbor-principperne ved henholdsvis det amerikanske handelsministerium og den amerikanske Federal Trade Commission, større gennemsigtighed for forbrugerne med hensyn til deres databeskyttelsesrettigheder, lettere og billigere retsmidler i tilfælde af klager og klarere regler for videregivelse (f.eks. med henblik på behandling eller udlicitering) fra virksomheder, der er omfattet af safe harbor-ordningen, til virksomheder, der ikke er omfattet af den. Efter at safe harbor-beslutningen er blevet erklæret ugyldig, har Kommissionen intensiveret drøftelserne med den amerikanske regering for at sikre overholdelsen af de retlige krav, som Domstolen har formuleret. Kommissionens har til hensigt at afslutte disse drøftelser og nå dette mål inden for tre måneder.

Indtil den nye transatlantiske ramme er på plads, er virksomhederne nødt til at benytte sig af de alternative redskaber til videregivelse, der er til rådighed. Denne løsning pålægger dog dataeksportørerne et større ansvar under tilsyn af databeskyttelsesmyndighederne.

I modsætning til en situation, hvor Kommissionen i en afgørelse har fundet, at et tredjeland sikrer et tilstrækkeligt databeskyttelsesniveau, som dataeksportørerne kan påberåbe sig, når de videregiver oplysninger fra EU, har dataeksportørerne ved brug af alternative redskaber fortsat ansvaret for at kontrollere, at oplysningerne beskyttes effektivt. Det kan f.eks. indebære, at de skal træffe passende foranstaltninger, hvor det måtte være nødvendigt.

Her vil databeskyttelsesmyndighederne spille en central rolle. Som de myndigheder, der står for den primære håndhævelse af de registreredes grundlæggende rettigheder, er databeskyttelsesmyndighederne både ansvarlige for og bemyndigede til i fuld uafhængighed at føre tilsyn med videregivelsen af oplysninger fra EU til tredjelande. Kommissionen opfordrer de registeransvarlige til at samarbejde med databeskyttelsesmyndighederne og dermed hjælpe dem til effektivt at udføre deres tilsynsrolle. Kommissionen vil fortsat arbejde tæt sammen med Artikel 29-Gruppen for at sikre, at EU's databeskyttelseslovgivning gennemføres på samme vis i alle medlemsstaterne.

(1)

     Dom af 6. oktober 2015 i sag C-362/14, Maximilian Schrems mod Data Protection Commissioner (EU:C:2015:650) (i det følgende også benævnt "dommen" eller "Schremsafgørelsen").

(2)

     Europa-Parlamentets og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (EFT L 281 af 23.11.1995, s. 31 (i det følgende benævnt "direktiv 95/46/EF" eller "direktivet").

(3)

     I denne meddelelse omfatter udtrykket "EU" også EØS. Henvisninger til "medlemsstaterne" omfatter dermed også EØS-medlemsstaterne.

(4)

     For en mere indgående gennemgang af safe harbor-ordningen henvises til "Meddelelse fra Kommissionen til Europa-Parlamentet og Rådet om, hvordan safe harbor-ordningen fungerer for så vidt angår EU-borgerne og virksomhederne i EU" (COM(2013) 847 final).

(5)

     Meddelelse fra Kommissionen til Europa-Parlamentet og Rådet om, hvordan safe harbor-ordningen fungerer for så vidt angår EU-borgerne og virksomhederne i EU (COM(2013) 847 final af 27.11.2013). Se også "Meddelelse fra Kommissionen til Europa-Parlamentet og Rådet: Genopbygning af tilliden til datastrømmene mellem EU og USA" (COM(2013) 846 final af 27.11.2013) og det relaterede memorandum "Restoring Trust in EU-US data flows – Frequently Asked Questions" (MEMO/13/1059 af 27.11.2013).

(6)

     Kort efter Schremsafgørelsen gav repræsentanter for forskellige brancheorganisationer bl.a. udtryk for disse bekymringer på et møde den 14. oktober, der blev afholdt af næstformand Andrus Ansip og kommissærerne Věra Jourová og Günther Oettinger. Se Daily News af 14. oktober 2015 (MEX/15/5840). Se også "Open letter on the implementation of the CJEU Judgement on Case C-362/14 Maximillian Schrems v Data Protection Commissioner" af 13. oktober 2015, der er adresseret til Kommissionens formand, Jean-Claude Juncker, og underskrevet af diverse europæiske og amerikanske brancheorganisationer og virksomheder: http://www.digitaleurope.org/DesktopModules/Bring2mind/DMX/Download.aspx?Command=Core_Download&EntryId=1045&PortalId=0&TabId=353.

(7)

     Erklæring fra Artikel 29-Gruppen, der kan findes på følgende internetadresse: http://ec.europa.eu/justice/data-protection/article-29/press-material/press-release/art29_press_material/2015/20151016_wp29_statement_on_schrems_judgement.pdf.

(8)

     Se artikel 8, stk. 3, i Den Europæiske Unions charter om grundlæggende rettigheder og artikel 16, stk. 2, i traktaten om Den Europæiske Unions funktionsmåde. Domstolen har også understreget denne uafhængighed i Schremsafgørelsen.

(9)

     Se følgende dokument fra Artikel 29-Gruppen: "Videregivelse af personoplysninger til tredjelande: anvendelse af artikel 25 og 26 i EU's databeskyttelsesdirektiv" (WP 12) af 24. juli 1998, s. 16.

(10)

     Kommissionens beslutning 2001/497/EF af 15. juni 2001 om standardkontraktbestemmelser for overførsel af personoplysninger til tredjelande i henhold til direktiv 95/46/EF (EFT L 181 af 4.7.2001, s. 19) og Kommissionens beslutning 2004/915/EF af 27. december 2004 om ændring af beslutning 2001/497/EF for at indføre en alternativ standardkontrakt om overførsel af personoplysninger til tredjelande (EUT L 385 af 29.12.2004, s. 74).

(11)

     Kommissionens beslutning 2002/16/EF af 27. december 2001 om standardkontraktbestemmelser for overførsel af personoplysninger til registerførere etableret i tredjelande i henhold til direktiv 95/46/EF (EFT L 6 af 10.1.2002, s. 52) og Kommissionens afgørelse 2010/87/EU af 5. februar 2010 om standardkontraktbestemmelser for videregivelse af personoplysninger til registerførere etableret i tredjelande i henhold til Europa-Parlamentets og Rådets direktiv 95/46/EF (EUT L 39 af 12.2.2010, s. 5). Kommissionens beslutning 2002/16/EF, der blev ophævet ved Kommissionens afgørelse 2010/87/EU, finder kun anvendelse på kontrakter, der er indgået inden den 15. maj 2010.

(12)

     Se f.eks. betragtning 6 i Kommissionens beslutning 2004/915/EF og bestemmelse V i bilaget hertil samt standardbestemmelse 7 i bilaget til Kommissionens afgørelse 2010/87/EU.

(13)

     Det bør bemærkes, at det i forslaget til en generel forordning om databeskyttelse (COM(2012) 11 final) er fastsat, at videregivelse baseret på standardkontraktbestemmelser eller bindende virksomhedsregler, i det omfang at disse er vedtaget af Kommissionen eller i overensstemmelse med den planlagte sammenhængsmekanisme, ikke kræver yderligere godkendelse.

(14)

     Anvendelsen af standardkontraktbestemmelserne forhindrer dog ikke parterne i at aftale at tilføje andre bestemmelser, så længe disse ikke direkte eller indirekte strider mod de bestemmelser, som Kommissionen har vedtaget, eller berører de registreredes grundlæggende rettigheder eller frihedsrettigheder. Se følgende dokument fra Europa-Kommissionen: "Frequently Asked Questions Relating to Transfers of Personal Data from the EU/EEA to Third Countries" (FAQ B.1.9), s. 28, der kan findes på følgende internetadresse: http://ec.europa.eu/justice/policies/privacy/docs/international_transfers_faq/international_transfers_faq.pdf.

(15)

     Hvis en databeskyttelsesmyndighed er i tvivl om, hvorvidt standardkontraktbestemmelserne er forenelige med direktivets krav, bør den indbringe sagen for en national domstol, der efterfølgende kan forelægge Domstolen et præjudicielt spørgsmål (jf. § 51, 52, 64 og 65 i Schremsafgørelsen).

(16)

     Artikel 29-Gruppen har fastlagt en særlig samarbejdsprocedure mellem de forskellige databeskyttelsesmyndigheder, for så vidt angår godkendelse af kontraktbestemmelser, som en virksomhed søger at anvende i flere forskellige medlemsstater. Se følgende dokument fra Artikel 29-Gruppen: "Arbejdsdokument om en samarbejdsprocedure for udstedelse af fælles udtalelser om 'kontraktbestemmelser', der anses for at stemme overens med Kommissionens standardbestemmelser" (WP 226) af 26. november 2014. Se også bestemmelse VII i bilaget til Kommissionens beslutning 2004/915/EF og standardbestemmelse 10 i bilaget til Kommissionens afgørelse 2010/87/EU.

(17)

     Se følgende dokument fra Artikel 29-Gruppen: "Arbejdsdokument om en samarbejdsprocedure for udstedelse af fælles udtalelser om 'kontraktbestemmelser', der anses for at stemme overens med Kommissionens standardbestemmelser" (WP 226) af 26. november 2014, s. 2.

(18)

     Se følgende dokumenter fra Artikel 29-Gruppen: "Working Document setting up a table with the elements and principles to be found in Binding Corporate Rules" (WP 153) af 24. juni 2008, "Working Document setting up a framework for the structure of Binding Corporate Rules" (WP 154) af 24. juni 2008 og "Working Document on Frequently Asked Questions (FAQs) related to Binding Corporate Rules" (WP 155) af 24. juni 2008.

(19)

     Se følgende dokument fra Artikel 29-Gruppen: "Standard Application for Approval of Binding Corporate Rules for the Transfer of Personal Data" (WP 133) af 10. januar 2007.

(20)

     Se følgende dokument fra Artikel 29-Gruppen: "Working Document Setting Forth a Co-Operation Procedure for Issuing Common Opinions on Adequate Safeguards Resulting From 'Binding Corporate Rules'" (WP 107) af 14. april 2005.

(21)

     Som Artikel 29-Gruppen har understreget, er det nødvendigt, i det omfang at andre bestemmelser i direktiv 95/46/EF indeholder yderligere krav, der er relevante for anvendelsen af disse undtagelser (f.eks. begrænsningerne i artikel 8 vedrørende behandlingen af følsomme oplysninger), at de pågældende krav overholdes. Se følgende dokument fra Artikel 29-Gruppen: "Arbejdsdokument om en ensartet fortolkning af artikel 26, stk. 1, i direktiv 95/46/EF af 24. oktober 1995" (WP 114) af 25. november 2005, s. 8. Se også følgende dokument fra Europa-Kommissionen: "Frequently Asked Questions Relating to Transfers of Personal Data from the EU/EEA to Third Countries" (FAQ D.2), s. 50.

(22)

     Det kan f.eks. omfatte udveksling af oplysninger mellem skatte- eller toldmyndigheder eller mellem socialsikringsmyndigheder (se betragtning 58 i direktiv 95/46/EF). Udveksling mellem tilsynsorganerne i sektoren for finansielle tjenesteydelser kan også være omfattet af undtagelsen. Se følgende dokument fra Artikel 29-Gruppen: "Arbejdsdokument: Videregivelse af personoplysninger til tredjelande: anvendelse af artikel 25 og 26 i EU's databeskyttelsesdirektiv" (WP 12) af 24. juli 1998, s. 25.

(23)

     Se følgende dokument fra Artikel 29-Gruppen: "Arbejdsdokument om en ensartet fortolkning af artikel 26, stk. 1, i direktiv 95/46/EF af 24. oktober 1995" (WP 114) af 25. november 2005, s. 7 og 17.

(24)

     Se følgende dokumenter fra Artikel 29-Gruppen: "Arbejdsdokument: Videregivelse af personoplysninger til tredjelande: anvendelse af artikel 25 og 26 i EU's databeskyttelsesdirektiv" (WP 12) af 24. juli 1998 og "Arbejdsdokument om en ensartet fortolkning af artikel 26, stk. 1, i direktiv 95/46/EF af 24. oktober 1995" (WP 114) af 25. november 2005. Se også følgende dokument fra Europa-Kommissionen: "Frequently Asked Questions Relating to Transfers of Personal Data from the EU/EEA to Third Countries" (FAQ D.1-D.9), s. 48-54.

(25)

     Se følgende dokument fra Artikel 29-Gruppen: "Arbejdsdokument om en ensartet fortolkning af artikel 26, stk. 1, i direktiv 95/46/EF af 24. oktober 1995" (WP 114) af 25. november 2005, s. 8-10.

(26)

     Se følgende dokument fra Artikel 29-Gruppen: "Arbejdsdokument om en ensartet fortolkning af artikel 26, stk. 1, i direktiv 95/46/EF af 24. oktober 1995" (WP 114) af 25. november 2005, s. 9. Ifølge gruppen må massevideregivelse eller repeteret videregivelse kun foretages på grundlag af en undtagelse, hvis det i praksis ikke er muligt at anvende standardkontraktbestemmelser eller bindende virksomhedsregler, og hvis den registrerede kun er udsat for en begrænset risiko (f.eks. internationale pengeoverførsler). Se også følgende dokument fra Europa-Kommissionen: "Frequently Asked Questions Relating to Transfers of Personal Data from the EU/EEA to Third Countries" (FAQ D.1), s. 49.

(27)

     Se følgende dokument fra Artikel 29-Gruppen: "Arbejdsdokument om en ensartet fortolkning af artikel 26, stk. 1, i direktiv 95/46/EF af 24. oktober 1995" (WP 114) af 25. november 2005, s. 13. Se også følgende dokument fra Artikel 29-Gruppen: "Udtalelse nr. 6/2002 om videregivelse af passagerlisteoplysninger og andre oplysninger fra luftfartsselskaber til USA" (WP 66) af 24. oktober 2002.

(28)

     Se følgende dokumenter fra Artikel 29-Gruppen: "Arbejdsdokument: Videregivelse af personoplysninger til tredjelande: anvendelse af artikel 25 og 26 i EU's databeskyttelsesdirektiv" (WP 12) af 24. juli 1998, s. 24, og "Arbejdsdokument om en ensartet fortolkning af artikel 26, stk. 1, i direktiv 95/46/EF af 24. oktober 1995" (WP 114) af 25. november 2005, s. 13.

(29)

     Se følgende dokument fra Artikel 29-Gruppen: "Arbejdsdokument: Videregivelse af personoplysninger til tredjelande: anvendelse af artikel 25 og 26 i EU's databeskyttelsesdirektiv" (WP 12) af 24. juli 1998, s. 24.

(30)

     Se følgende dokument fra Artikel 29-Gruppen: "Arbejdsdokument om en ensartet fortolkning af artikel 26, stk. 1, i direktiv 95/46/EF af 24. oktober 1995" (WP 114) af 25. november 2005, s. 15. I beskæftigelsessammenhæng kan undtagelsen f.eks. ikke danne grundlag for videregivelsen af alle de ansattes oplysninger til koncernens moderselskab, der er beliggende i et tredjeland, under henvisning til en eventuel fremtidig retssag.

(31)

     Haagerkonventionen om bevisoptagelse i udlandet i sager om civile eller kommercielle spørgsmål, åbnet for undertegnelse den 18. marts 1970, 23 U.S.T. 2555, 847 U.N.T.S. 241. Denne konvention omfatter f.eks. "pre-trial discovery" eller anmodninger fra den retslige myndighed i en stat til den kompetente myndighed i en anden stat for at opnå bevis, der er bestemt til brug i en retssag i den anmodende stat.

(32)

     Se følgende dokument fra Artikel 29-Gruppen: "Arbejdsdokument om en ensartet fortolkning af artikel 26, stk. 1, i direktiv 95/46/EF af 24. oktober 1995" (WP 114) af 25. november 2005, s. 10, under henvisning til "Udtalelse nr. 5/2004 om uanmodet kommunikation med henblik på markedsføring, jf. artikel 13 i direktiv 2002/58/EF" (WP 90) af 27. februar 2004, punkt 3.2.

(33)

     Se følgende dokument fra Artikel 29-Gruppen: "Arbejdsdokument: Videregivelse af personoplysninger til tredjelande: anvendelse af artikel 25 og 26 i EU's databeskyttelsesdirektiv" (WP 12) af 24. juli 1998, s. 24.

(34)

     Se følgende dokument fra Artikel 29-Gruppen: "Udtalelse nr. 8/2001 om behandling af personoplysninger i ansættelsesforhold" (WP 48) af 13. september 2001, s. 3, 23 og 26. Ifølge gruppen skal anvendelsen af samtykke begrænses til de tilfælde, hvor den ansatte har et reelt valg og som følge heraf kan trække sit samtykke tilbage uden at lide skade. Se også følgende dokument fra Artikel 29-Gruppen: "Arbejdsdokument om en ensartet fortolkning af artikel 26, stk. 1, i direktiv 95/46/EF af 24. oktober 1995" (WP 114) af 25. november 2005, s. 11.

(35)

     Se følgende dokument fra Artikel 29-Gruppen: "Arbejdsdokument om en ensartet fortolkning af artikel 26, stk. 1, i direktiv 95/46/EF af 24. oktober 1995" (WP 114) af 25. november 2005, s. 11. Se også følgende dokument fra Artikel 29-Gruppen: "Udtalelse nr. 6/2002 om videregivelse af passagerlisteoplysninger og andre oplysninger fra luftfartsselskaber til USA" (WP 66) af 24. oktober 2002.

(36)

     Se følgende dokument fra Artikel 29-Gruppen: "Arbejdsdokument: Videregivelse af personoplysninger til tredjelande: anvendelse af artikel 25 og 26 i EU's databeskyttelsesdirektiv" (WP 12) af 24. juli 1998, s. 24.

(37)

      Se følgende dokument fra Artikel 29-Gruppen: "Udtalelse 15/2011 om definitionen af samtykke" (WP 187) af 13. juli 2011, s. 9.

(38)

     Se følgende dokument fra Artikel 29-Gruppen: "Arbejdsdokument om en ensartet fortolkning af artikel 26, stk. 1, i direktiv 95/46/EF af 24. oktober 1995" (WP 114) af 25. november 2005, s. 11.

(39)

     Se Artikel 29-Gruppens erklæring af 16. oktober 2015 (fodnote 8 ovenfor).

(40)

     En række multinationale virksomheder har erklæret, at de baserer deres videregivelse af oplysninger til USA på alternative redskaber. Se f.eks. erklæringerne fra Microsoft (http://blogs.microsoft.com/on-the-issues/2015/10/06/a-message-to-our-customers-about-eu-us-safe-harbor/) og Salesforce (http://www.salesforce.com/company/privacy/data-processing-addendum-faq.jsp). Andre amerikanske virksomheder, såsom Oracle, har sagt, at de giver cloud-kunder mulighed for at lagre deres oplysninger i Europa, så de ikke sendes til lagring i tredjelande: http://www.irishtimes.com/business/technology/oracle-keeps-european-data-within-its-eu-based-data-centres-1.2408505?mode=print&ot=example.AjaxPageLayout.ot

(41)

     Se betragtning 60 og artikel 25, stk. 1, i direktiv 95/46/EF.

(42)

     Se f.eks. standardbestemmelse 5 i bilaget til Kommissionens afgørelse 2010/87/EU og følgende dokument fra Artikel 29-Gruppen: "Working Document setting up a framework for the structure of Binding Corporate Rules" (WP 154) af 24. juni 2008, s. 8.

(43)

Se f.eks. følgende retningslinjer fra Den Europæiske Unions Agentur for Net- og Informationssikkerhed (ENISA): https://resilience.enisa.europa.eu/article-13/guideline-for-minimum-security-measures/Article_13a_ENISA_Technical_Guideline_On_Security_Measures_v2_0.pdf.

(44)

     Se f.eks. principerklæringen af 26. oktober 2015 fra databeskyttelseskonferencen for de tyske databeskyttelsesmyndigheder på forbunds- og delstatsniveau: https://www.datenschutz.hessen.de/ft-europa.htm#entry4521. Principerklæringen understreger, at Schremsafgørelsen indeholder "strenge materielle krav", som både Kommissionen og databeskyttelsesmyndighederne skal overholde, og angiver, at de tyske databeskyttelsesmyndigheder på grundlag af alternative redskaber (standardkontraktbestemmelser og bindende virksomhedsregler) vil vurdere, hvorvidt videregivelsen af oplysninger er lovlig, og at de ikke længere vil udstede nye tilladelser til brug af disse redskaber. Parallelt hermed har flere tyske databeskyttelsesmyndigheder på delstatsniveau udsendt klare advarsler om, at de alternative redskaber til videregivelse er ved at blive gennemgået juridisk. Se f.eks. de principerklæringer, der er udsendt af databeskyttelsesmyndighederne i Schleswig-Holstein (https://www.datenschutzzentrum.de/artikel/981-ULD-Position-Paper-on-the-Judgment-of-the-Court-of-Justice-of-the-European-Union-of-6-October-2015,-C-36214.html) og i Rheinland-Pfalz (https://www.datenschutz.rlp.de/de/aktuell/2015/images/20151026_Folgerungen_des_LfDI_RLP_zum_EuGH-Urteil_Safe_Harbor.pdf).

(45)

     Se Artikel 29-Gruppens erklæring af 16. oktober 2015 (fodnote 8 ovenfor).

(46)

     Europa-Kommissionens forslag til Europa-Parlamentets og Rådets forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (generel forordning om databeskyttelse). Se også Europa-Parlamentets lovgivningsmæssige beslutning af 12. marts 2014 om forslag til Europa-Parlamentets og Rådets forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (generel forordning om databeskyttelse) (COM(2012)0011 – C7-0025/2012 – 2012/0011(COD)) og Rådets forberedelse af en generel indstilling vedrørende forslag til Europa-Parlamentets og Rådets forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (generel forordning om databeskyttelse) (9565/15). Forslaget befinder sig i øjeblikket på det sidste trin i lovgivningsprocessen.

(47)

     Se betragtning 57 i direktiv 95/46/EF.

(48)

     På nuværende tidspunkt er der vedtaget afgørelser om tilstrækkeligt beskyttelsesniveau, for så vidt angår følgende lande og territorier: Andorra, Argentina, Canada, Færøerne, Guernsey, Isle of Man, Israel, Jersey, New Zealand, Schweiz og Uruguay. Se http://ec.europa.eu/justice/data-protection/international-transfers/adequacy/index_en.htm.

(49)

     Se Schremsafgørelsens præmis 99-104.

(50)

     Se fodnote 4 ovenfor.