Overførsel af personoplysninger til tredjelande efter Schrems II
Oversat titel
Transfer of Personal Data to Third Countries post-Schrems II
Forfattere
Dyrting, Mads ; Pedersen, Sofie Dalsgaard ; Jensen, Linda Vestergaard
Semester
4. semester
Uddannelse
Udgivelsesår
2021
Afleveret
2021-05-19
Antal sider
97
Resumé
Grænseoverskridende overførsler af personoplysninger er blevet centrale på tværs af brancher, men skaber særlige udfordringer efter EU-Domstolens Schrems I og II, der kendte Safe Harbour og Privacy Shield ugyldige og kun anerkendte standardkontraktbestemmelser (SCC) som generelt gyldige, når de ledsages af supplerende foranstaltninger. Specialet undersøger, hvad dataeksportører skal overveje ved overførsel til USA og andre tredjelande uden tilstrækkelighedsafgørelse, og om udkastet til nye SCC og Det Europæiske Databeskyttelsesråds (EDPB) anbefalinger giver afklaring. Metodisk bygger arbejdet på juridisk analyse af GDPR kapitel 5 og EU’s Charter, EU-Domstolens praksis, Kommissionens udkast til SCC og EDPB’s Recommendations 01/2020, suppleret af praktiske scenarier om tekniske, kontraktmæssige og organisatoriske foranstaltninger som kryptering og pseudonymisering. Specialet konkluderer, at dataeksportører skal sikre et beskyttelsesniveau, der er væsentligt tilsvarende det i EU, hvilket kræver en konkret vurdering af tredjelandets lovgivning og ofte en omfattende, omkostningstung indsats. Når SCC og tredjelandets regler ikke samlet giver tilstrækkelig beskyttelse, må der indføres supplerende foranstaltninger; EDPB’s generiske eksempler giver dog begrænset vejledning, og i visse situationer kan effektive tiltag slet ikke lade sig gøre. Udkastet til nye SCC præciserer forpligtelserne, men er ikke en endelig løsning, og udbredte enkeltvise vurderinger hos både virksomheder og tilsyn risikerer at føre til manglende ensartethed i EU.
Cross-border transfers of personal data have become central across sectors but pose specific challenges after the Court of Justice’s Schrems I and II rulings, which invalidated Safe Harbour and Privacy Shield and left standard contractual clauses (SCCs) generally valid only when paired with supplementary measures. This thesis examines what data exporters should consider when transferring data to the United States and other third countries without an adequacy decision, and whether the draft new SCCs and the European Data Protection Board’s (EDPB) Recommendations provide clarity. The method is a legal analysis of GDPR Chapter 5 and the EU Charter, the Court’s case law, the Commission’s draft SCCs, and EDPB Recommendations 01/2020, complemented by practical scenarios on technical, contractual and organizational measures such as encryption and pseudonymization. The thesis concludes that exporters must ensure a level of protection essentially equivalent to that in the EU, which requires a case-by-case assessment of third-country law and often a substantial, costly effort. Where SCCs and local law do not together ensure equivalence, supplementary measures are needed; however, the EDPB’s generic examples offer limited guidance, and in some situations effective measures may not be feasible. The draft new SCCs clarify obligations but are not a definitive solution, and widespread case-by-case assessments by organizations and supervisory authorities risk a lack of uniformity across the Union.
[Dette resumé er genereret med hjælp fra AI direkte fra projektet (PDF)]
Emneord