Vores egen Margrethe Vestager har haft sine kampe mod de store tech-giganter med både at statuere eksempler og for at sikre fokus på europæiske interesser. Særligt at amerikanske virksomheder ikke skal skumme fløden på EU-borgeres data uden i det mindste at betale skat af omsætningen.

Den østrigske aktivist Max Schrems har kæmpet for retten til et privatliv i en globaliseret og digital virkelighed dikteret af Facebook – og han har vundet.

Resultatet betyder blandet andet, at Facebook ikke længere kan bruge Privacy Shield til at overføre personoplysninger fra Europa til USA. Til landet, hvor den nationale sikkerhedstjeneste både har beføjelse til og et indædt ønske om at indsamle og analysere den globale digitale kommunikation. Og det giver vel på mange måder god mening, når skjoldet ikke kan beskytte dit privatliv i et USA, som vægter den nationale sikkerhed højere – også når det betyder massiv overvågning af udenlandske statsborgere.

I midten af juli faldt afgørelsen fra EU-domstolen, som betyder, at alle virksomheder, der har benyttet Privacy Shield som overførselsgrundlag, i stedet må finde et alternativ – og det er ikke nogen nem opgave. Hele Privacy Shield-sagen kan minde om katastrofehøjhuset på Amager, hvor 86 meters skelet er bygget på et fundament, som aldrig har været godkendt til at bære så højt et hus. På samme måde ville vi sikkert se en Schrems III og Schrems VI-sag, hvis EU og USA finder på nye overførselsfundamenter, som ikke sikrer retten til privatliv.

Seks anbefalinger fra Det Europæiske Databeskyttelsesråd

Derfor har Det Europæiske Databeskyttelsesråd (European Data Protection Board, forkortet EDBP) meldt sig på banen med seks anbefalinger, herunder foranstaltninger, som netop skal sikre EU’s beskyttelsesniveau ved overførsler til usikre tredjelande uden for EU/EØS. I rådets rapport fremgår en trin-for-trin guide til alle jer, som enten overfører personoplysninger eller overvejer at gøre det.

Vi har gennemgået de seks anbefalinger, og samtidig holdt vejret, fordi vores egen kollega, Legal Director Liv Palmelund Osborg, allerede præsenterede vores bud på en overlevelsesguide for nogle måneder siden. Vi kan ånde lettet op, når vi sammenligner de to sæt anbefalinger, fordi vi har fundet mange ligheder. Forskellen handler primært om, at EDBP er kommet med yderligere forslag til tekniske foranstaltninger, og at vi skal være opmærksomme på, at både standard-, bindende virksomheds- og ad hoc kontrakter ikke binder myndighederne i de usikre tredjelande, hvis der er lovgivning, som tillader at de kan overvåge kommunikationen. Vi gennemgår kort EDBP’s sekstrinsraket, som lyder således:

1. Kortlæg jeres overførsler til tredjelande
   EDPB kalder det en svær øvelse, og minder os om, at overførsel også kun skal ske, hvis den er passende, relevant og begrænset til, hvad der er nødvendigt i forhold til formålet. På samme måde, som vi har skrevet i vores egne anbefalinger, så start med et tjek af jeres fortegnelse og risikovurdering.
2. Bekræft jeres retlige grundlag
   De retlige grundlag fremgår i artikel 5 i databeskyttelsesforordningen, og fra listen skal I stadig finde frem til hjemlen, som er grunden til, at I må behandle personoplysninger. I artikel 45 fremgår det også, at Europa-kommissionen vurderer, at en række tredjelande er sikre, fx Færøerne, Japan og Uruguay. I få tilfælde kan I også benytte en af undtagelserne i artikel 49 ved lejlighedsvise og ikke-gentagne overførsler.
3. Vurdér lovgivningen i tredjelandet
   I skal foretage og dokumentere en omhyggelig vurdering af relevant lovgivning i det tredjeland, I ønsker at overføre data til. Herunder skal I undersøge om offentlige myndigheder har adgang til data – og vær særlig opmærksom, hvis lovgivningen om offentlige myndigheders adgang til data enten er tvetydig eller ikke offentligt tilgængelig.Husk, som vi også nævnte sidst, at lovgivningen i USA er det modsatte af tvetydig, og at I derfor kan være opmærksomme på følgende lov i jeres risikovurdering:702 i Foreign Intelligence Surveillance Act (FISA) åbner for, at de amerikanske myndigheder stort set ubegrænset kan overvåge og indsamle udenlandsk data (og dermed personoplysninger), når der er tale om såkaldte ”U.S. electronic communication service providers (”ECSPs”)”, fx tjenesteudbydere inden for internet, telefoni og e-mail.
4. Identificér supplerende foranstaltninger
   Når vi risikovurderer vores behandlinger, kan vi blive nødt til at supplere med foranstaltninger, hvis en aktivitet udgør en uacceptabel risiko for den, som vi behandler oplysninger om. Der er i den grad tale om risikofyldte behandlinger, når der overføres personoplysninger til tredjelande – og derfor har EDPB en række foranstaltninger med, som er tekniske, organisatoriske og kontraktuelle. EDPB vurderer, hvilke betingelser som skal være til stede, før foranstaltningen er effektiv – og det er kun de tekniske, som muliggør sikre overførsler. De tekniske midler rummer kryptering, pseudonymisering og opdelt behandling.
   
   Fællesnævneren er, at ingen uautoriserede aktører kan få adgang til de personoplysninger, der er omfattet af GDPR. Det vil fx sige, at der kan overføres personoplysninger, hvis de er krypterede eller pseudomiserede, og hvis nøglen, som kan omforme data til sin originale form, er beskyttet og befinder sig i EU. Eller hvis databehandlingen bliver opdelt, så aktører fra usikre tredjelande kun får adgang til de dele af processer, hvor der ikke indgår personoplysninger.De organisatoriske foranstaltninger kan fx være interne politikker, som kan bidrage til en fælles og fortsat tilgang til at beskytte data. Organisatoriske retningslinjer kan også skabe opmærksomhed om, hvilke risici der er ved at overføre personoplysninger til tredjelande.De kontraktuelle foranstaltninger binder ikke myndighederne i tredjelandet til at overholde forpligtelserne, da de i sagens natur ikke er bundet af kontrakten mellem jer og jeres leverandører. Rådets holdning til de kontraktuelle foranstaltninger er, at de ikke kan stå alene.Vores råd til jer er også at være meget opmærksomme, hvis nogle af de store cloududbydere forsøger at skrive sig ud af Privacy Shield-afgørelsen. I bør i stedet lede efter tegn på, at de er i gang med at implementere nye teknologiske metoder som privatlivsværn.
5. Find sammenhængen mellem overførselsgrundlaget og ovenstående foranstaltninger
   De supplerende foranstaltninger skal implementeres efter, hvilket overførselsgrundlag i artikel 46 som I benytter.I tilfælde af standardkontrakter, skal I sikre, at de nye foranstaltninger, som fremgår af trin 4, ikke er modstridende til det, der fremgår af kontrakten, og I skal have sikret, at foranstaltningerne gør overførslen GDPR-compliant.Hvis I har benyttet andre overførelsesgrundlag, som fx BCR eller ad hoc kontrakter, vil de heller ikke beskytte mod overvågning fra myndigheder, da kontrakterne ikke er indgået med myndighederne – og derfor ikke kan binde dem.
6. Evaluér beskyttelsesniveauet løbende
   Da ansvarlighed er et kontinuerligt princip, husker EDBP os afslutningsvis også på, at vi løbende skal evaluere tredjelandsoverførsler og overvåge udviklingen i de lande, vi overfører til.

De fleste af vores kunder, som er ramt af overførselssuppedasen, overfører udelukkende til USA og har brugt Privacy Shield som overførselsgrundlag. Her gavner anbefalingerne kun, hvis leverandøren implementerer foranstaltningerne i trin fire, som skal modsvare de lovmæssige problematikker i trin tre.

Vægtskålen med lovgivning på den ene side og foranstaltninger på den anden skal også beskrives, og udgør derfor trin 5. På samme måde som EDBP kalder første skridt en vanskelig øvelse, vil vi også mene, at step tre-fem er en umulig opgave for de mindre aktører i landet, som små virksomheder og kommuner.

Derfor venter vi spændt på at se den nye vejledning samt de nye bud på standardkontrakter, som muligvis kommer, inden vi skriver 2021 i kalenderen.

Hvad kan fremtiden ellers byde på?

Mens vi venter på nye meldinger fra EDBP, har vi tid til at zoome ud og se på andre forhåbninger til fremtiden.

Vores første forhåbning er, at markedskræfterne fra de europæiske virksomheder vil skubbe de store cloud-leverandører til at afgrænse sine serverlokationer – på grunde langt væk fra USA’s overvågningsmekanismer. Eller at leverandørerne selv bringer nye metoder på banen, fx multipart computing, som kan distancere og beskytte data på en mindre geografisk og mere teknologisk måde.

Hvis udfaldet bliver, at de amerikanske cloud-leverandører ikke vil følge trop, så kan vi også håbe på, at Europakommissionens datastrategi snart bliver søsat.

Strategien har til formål at gøre op med i ubalancer i den digitaliserede markedsstyrke. Det står nemlig sort på hvidt, at cloudtjenester og datainfrastruktur er tæt koncentreret, og at der er stor ubalance i adgang til data:

”Den høje grad af markedsstyrke, som “datafordelen” giver, kan gøre det muligt for større aktører at fastsætte reglerne på platformen og ensidigt opstille betingelser for adgangen til og anvendelsen af data eller endog gøre det muligt at udnytte denne fordel i styrke, når der udvikles nye tjenester og udvides mod nye markeder”.

Samtidig kan det læses, hvordan EU-baserede cloududbydere er en lille spiller på cloudmarkedet. For at gøre op med tilstanden, vil Kommissionen investere i et projekt om europæiske dataområder og forbundne cloudinfrastrukturer fra 2021 frem mod 2027. Fundamentet skal baseres på europæiske edge- og cloudinfrastrukturer, hvor der skal stilles fælles og samlede krav til de cloudleverandører, som virksomheder i EU benytter:

”For at beskytte EU-virksomhedernes og -borgernes rettigheder og interesser vil Kommissionen med støtte fra de relevante myndigheder i medlemsstaterne være særlig opmærksom på, at de leverandører af cloudtjenester, der opererer på EU-markedet, overholder EU’s regler (f.eks. databeskyttelsesforordningen, forordningen om fri udveksling af andre data end personoplysninger og forordningen om cybersikkerhed) og, hvis det er relevant, disses planlagte gennemførelse gennem selv- og samreguleringsmekanismer og tekniske foranstaltninger til at øge tilliden, såsom security by design og automatiseret overholdelse”.

Europakommissionens datastrategi kan være en fælles tilgang til databeskyttelse og komme fra en afsender, som kan have den magt, som alle små virksomheder mangler for at tage kampen op mod de nuværende store cloududbydere. Kommissionen vil også lave et fælles ”cloudregelsæt”, som skal tage hånd om problematikker såsom tilgang til sikkerhed, energieffektivitet, tjenestekvalitet, databeskyttelse og dataportabilitet. I strategien fremgår det, at kompendiet af de fælles gældende regler bliver etableret i 2022.

For måske er tiden kommet til, at vi en gang for alle skal sige ”Europa først”, når det kommer til beskyttelse af alle vores personoplysninger. For det syner jo oplagt at bygge sin virksomhed på en europæisk digital infrastruktur omgivet af europæisk lovgivning.

Vi følger udviklingen i databeskyttelseslovgivning og lovmæssige rammer for dataoverførsler tæt. Vi står selvfølgelig klar med råd og vejledning om disse områder.