Overførsel af personoplysninger til USA og Europa-Kommissionens standardkontraktbestemmelser i lyset af EU-retten og grundlæggende rettigheder
Oversat titel
Transfer of personal data to the United States and the European Commission's standard contractual clauses in the light of EU law and fundamental rights
Forfatter
Sørensen, Nicolai Kjærgaard
Semester
4. semester
Uddannelse
Udgivelsesår
2021
Afleveret
2021-05-19
Antal sider
73
Resumé
Specialet undersøger, hvordan EU-Domstolens Schrems II-dom og grundlæggende rettigheder påvirker danske dataansvarliges overførsel af personoplysninger til USA ved brug af Europa-Kommissionens standardkontraktbestemmelser (SCC’er) efter GDPR art. 46, stk. 2, litra c. Med en retsdogmatisk tilgang gennemgås dommens baggrund og retsvirkninger, EU-Chartrets artikler 7, 8, 47 og 52, amerikansk sikkerhedslovgivning (FISA § 702, E.O. 12333, PPD-28), Højesteretspraksis om Fourth Amendment samt ICCPR art. 17, SCC’ernes indhold og EDPB’s udkast til Henstilling 01/2020. Analysen finder, at den amerikanske overvågning indebærer uforholdsmæssige indgreb i europæeres rettigheder efter EU-retten, at Fourth Amendment i praksis primært beskytter amerikanske statsborgere, og at der mangler en fælles transatlantisk standard. Efter Schrems II kan SCC’er kun anvendes, hvis beskyttelsesniveauet i praksis er væsentligt ækvivalent med EU-retten; den dataansvarlige skal derfor konkret vurdere tredjelandets ret og om nødvendigt indføre supplerende foranstaltninger. EDPB lægger op til tekniske tiltag, der udelukker myndigheders adgang (f.eks. stærk kryptering), men sådanne kan modarbejde formålet med overførslen. Specialet påviser betydelig teoretisk usikkerhed om, hvorvidt en mere risikobaseret, mindre indgribende tilgang kan accepteres; overholdelse af Henstilling 01/2020 er mulig, selv om den ikke er retligt bindende. Brugen af EU-etablerede databehandlere løser ikke i sig selv problemerne, da Schrems II-kravene stadig gælder. Afslutningsvis peger specialet på, at varige løsninger sandsynligvis forudsætter ændringer i amerikansk overvågningslovgivning, men at forfatningsretlige begrænsninger kan hindre fuld tilnærmelse til EU-Chartrets standard.
This thesis examines how the Court of Justice’s Schrems II judgment and fundamental rights affect Danish controllers’ transfers of personal data to the United States using the European Commission’s Standard Contractual Clauses (SCCs) under GDPR Article 46(2)(c). Using a doctrinal legal method, it reviews the judgment’s background and effects, the EU Charter (Articles 7, 8, 47 and 52), U.S. national security law (FISA Section 702, E.O. 12333, PPD-28), U.S. Supreme Court case law on the Fourth Amendment, ICCPR Article 17, the SCCs and the EDPB’s draft Recommendations 01/2020. The analysis finds that U.S. surveillance law leads to disproportionate interferences with Europeans’ rights under EU law, that the Fourth Amendment largely protects only U.S. persons, and that there is no shared transatlantic standard. Following Schrems II, SCCs can be used only where an “essentially equivalent” level of protection is ensured in practice; controllers must therefore assess third-country law case by case and, where necessary, implement supplementary measures. The EDPB envisages technical measures that exclude government access (e.g., strong encryption), but such measures may undermine the purpose of the transfer. The thesis identifies considerable theoretical uncertainty as to whether a risk-based, less intrusive approach can be accepted; compliance with Recommendations 01/2020 is possible even though they are not legally binding. Using EU-based processors does not by itself solve the issues, as Schrems II requirements still apply. The thesis concludes that durable solutions likely require changes to U.S. surveillance law, though constitutional constraints may limit full alignment with the EU Charter.
[Dette resumé er genereret med hjælp fra AI direkte fra projektet (PDF)]
Emneord