12 okt Schrems II har smadret Privacy Shield og tredjelandsoverførsler – hvad så nu?
12. oktober 2020
Vi skrev tilbage i juli, at vi ville vende tilbage med et bud på, hvad I kan gøre, nu hvor EU-domstolen har talt med store ord i Schrems II-dommen.
Hvor kringlet er det?
Her over to måneder efter EU-dommen er det stadig uklart, hvordan dataansvarlige og databehandlere skal forholde sig i praksis.
Som alt i denne verden er intet sort eller hvidt, og vi forsøger i denne artikel at bevæge os ud i gråzonen for at give nogle pragmatiske råd til, hvordan I kan forholde jer til jeres overførsler af personoplysninger til usikre tredjelande uden for EU/EØS, uanset om det sker igennem jer eller jeres samarbejdspartnere.
For kan det virkelig passe, at datastrømme ud af EU/EØS nu skal stoppe, hvis man som dataeksportør ikke kan slukke for fremmede statsmagters adgang til data?
- Spørger I jura og compliance, er svaret:
”JA. EU-domstolen er klar i mælet, og dommen bekræfter egentlig bare det, vi allerede vidste. Privacy Shield var en nødløsning, og SCCs hjælper ikke uden en reel risikovurdering af personoplysningerne, der behandles, uanset hvilket usikkert tredjeland der er tale om. Vi skal værne om de personoplysninger, vi har ansvaret for, og for at sikre et gyldigt overførselsgrundlag til at behandle personoplysninger i lande uden for EU/EØS skal vi som led i principperne om (data)ansvarlighed og behandlingssikkerhed efter GDPR sikre, at udefrakommende, her en national efterretningstjeneste eller en anden offentlig myndighed, i modtagerlandet ikke kan få adgang til personoplysningerne. Og vi skal løbende forholde os kritisk til muligheden.”
- Spørger I salg, marketing, driften, IT – ja, det vil sige resten af forretningen – er svaret:
”NEJ. Vi kan ikke køre en forretning, hvis vi ikke har mulighed for at vælge de leverandører, som har en nem, lettilgængelig og billig ydelse og ikke mindst tilbyder 24/7 support. Og så er vi ganske enkelt ret ligeglade med, hvor personoplysningerne flyder hen. Det er også ligegyldigt med valg af leverandører, for vi kan ikke sælge vores produkter, hvis vores omkostninger til fx hosting, kundesupport eller mailprogram bliver meget dyrere end vores konkurrenters, fordi vi er tvunget til at vælge fx europæiske softwareudviklere eller lagring af data inden for EU/EØS. Så kan vi lige så godt lukke og slukke butikken.”
Skal man så følge den seneste praksis fra Schrems II og være juridisk compliant, eller skal man gå den kommercielle risikovej?
Ét er sikkert. Det er ikke blevet nemmere at arbejde med GDPR compliance som jurist/rådgiver, når der igen-igen sættes nye barrierer op fra EU, som virksomheder og offentlige myndigheder skal forholde sig til i en evigt foranderlig digital verden.
Gode råd: Vær proaktiv eller risikovillig, lav aftaler og kryptér
Vi har kigget i krystalkuglen, og baseret på de seneste nyhedsstrømme fra Det Europæiske Databeskyttelsesråd tror vi, at der vil ske noget på politisk plan inden årets udgang, da der alt andet lige er fokus på området, og EU heller ikke kan være tjent med, at virksomheder og offentlige myndigheder lige nu i praksis risikerer lovbrud, hvis de fortsætter som hidtil, men rent teknisk ikke bare kan slukke for knappen uden at lukke butikken.
Indtil der er en afklaring på (stor)politisk niveau, kan I med fordel gennemgå disse seks punkter:
1. Tjek jeres fortegnelse og risikovurdering
-
- Er det overhovedet relevant for jer at undersøge nærmere, for har I – eller jeres leverandører – overførsler af personoplysninger til usikre tredjelande uden for EU/EØS?
2. Hvis ja, skal I vælge mellem:
-
- a) Vil I forholde jer afventende? Så gør intet, men vær opmærksom på, at der er både omdømmerisiko og risiko for, at I skal forklare jer over for jeres kunder og registrerede enkeltpersoner, i værste fald også Datatilsynet, eventuelt i sagsanlæg.
- b) Vil I forholde jer proaktivt? Så gennemgå jeres (databehandler)aftaler og lav en liste over overførslerne til usikre tredjelande. Gå derefter videre til næste punkt.
3. Hvilket overførselsgrundlag?
-
- Oplist overførselsgrundlaget for overførslen af personoplysninger til usikre tredjelande. Hvis overførslen sker til USA, kan der være tale om Privacy Shield, og den er som bekendt nu ugyldig. Overvej i stedet SCCs.
4. Vurdér leverandøren
-
- Er der tale om en mindre leverandør:
- Overvej, om det ikke vil give jer mest værdi på den lange bane at afslutte samarbejdet og vælge en leverandør inden for EU/EØS eller et sikkert tredjeland. Husk, at tilsynsmyndighederne ikke har meget til overs for kommercielle forhold og praktiske hensyn i jeres valg af leverandør, for her er hensynet til de registreredes rettigheder (og risikoen for at deres personoplysninger bliver kompromitteret) højest.
- Tag kontakt til leverandøren og bed dem redegøre for, hvordan de forholder sig til deres overførsel af data til et usikkert tredjeland. Se også videre i punkt 5.
- Er der tale om en stor, verdensomspændende (cloud)leverandør:
- Hvis I ikke har haft nogen form for indflydelse på aftalen, men blot har tilsluttet jer leverandørens gældende servicevilkår, er der en minimal chance for, at I kan ændre noget i aftalegrundlaget, hvis I kontakter leverandøren. Her er det netop, at Schrems II bliver skrivebordsjura, fordi det i praksis vil være noget nær umuligt for den lille virksomhed at tage kampen op mod en stor, verdensomspændende leverandør. Det er vores vurdering, at store leverandører som Microsoft, Google, Facebook, Amazon og Apple, mv. først vil ændre praksis og retning, når der er massivt politisk pres på dem, og reglerne bliver ændret. Vi anbefaler derfor, at I, indtil det sker, dokumenterer jeres overvejelser i jeres fortegnelse, oplister, at der sker overførsel af personoplysninger og jeres risikovurdering herved, og at det er en risiko, I løbende genbesøger, indtil der er nyt fra tilsynsmyndighederne/EU.
- Men ét er dog sikkert: Hvis man som leverandør bestiller en ISAE 3000 GDPR-erklæring, så vil man nok i den næste tid se et revisorforbehold i de erklæringer, hvor en databehandler benytter en af de globale cloudleverandører, og det skal så forklares til kunderne (de dataansvarlige).
- Er der tale om en mindre leverandør:
5. Vurdering af overførselsgrundlaget og tekniske og aftalemæssige tiltag i SCCs
-
- Er I kommet frem til, at I fastholder overførslen, og at I vil forholde jer til Schrems II, skal I indarbejde tillægsklausuler og andre tekniske tiltag i jeres aftale/SCC med leverandøren.
- Bed jeres dataimportør om at give jer løbende information om mulige anmodninger fra efterretningstjenesterne/myndighederne i det pågældende usikre tredjeland, og hvordan dataimportøren har forholdt sig til disse anmodninger. Her kan I henvise til punkt 5 i de gældende SCCs (Controller-to-Processor), hvor dataimportøren skal sikre, at dataeksportøren får besked, hvis man ikke kan overholde de fastsatte vilkår, så I som dataeksportør kan stoppe med overførslen (og i givet fald opsige aftalen).
- Særligt i forhold til USA skal I være opmærksomme på følgende i jeres risikovurdering:
- § 702 i Foreign Intelligence Surveillance Act (FISA) åbner op for, at de amerikanske myndigheder stort set ubegrænset kan overvåge og indsamle udenlandsk data (og dermed personoplysninger), når der er tale om såkaldte ”U.S. electronic communication service providers (”ECSPs”)”, fx tjenesteudbydere inden for internet, telefoni og e-mail.
- Er der ikke tale om en ECSP, kan I aftale, at der ikke må ske udlevering af data til amerikanske myndigheder med henvisning til FISA § 702, men I skal være opmærksomme på, at muligheden for at begrænse adgangen er noget nær minimal.
- Overvej at indsætte en erklæring, hvor dataimportøren bekræfter, at der ikke har været anmodninger fra de amerikanske myndigheder, og at man vil informere jer om det, skulle en sådan anmodning blive fremført.
- Uanset FISA § 702, så tillader Executive Order 12333 (EO 12333), at der i efterretningsøjemed indsamles store mængder af personoplysninger på ikke-amerikanske borgere.
- Overvej, om I derfor kan begrænse de amerikanske myndigheders muligheder efter EO 12333 ved at indsætte i aftalen, at importøren af data ikke frivilligt skal bistå de amerikanske myndigheder med at indsamle data efter EO 12333. Og modtager importøren en anmodning fra de amerikanske myndigheder, har importøren en pligt til at informere jer om en sådan anmodning. Af tekniske tiltag kan I kryptere oplysningerne og give importøren besked om, at denne ikke må give krypteringsnøglen til de amerikanske myndigheder uden underretning til jer.
6. Overvej undtagelsesmulighederne i GDPR artikel 49
-
- Kan I ikke bruge SCCs, så overvej om behandlingen af personoplysninger og overførslen af dem er så særlig og strengt nødvendig, at I kan bruge fx samtykke, kontrakt med den registrerede eller sikring af et retskrav som et overførselsgrundlag. Er I en offentlig myndighed, kan I ikke bruge hverken samtykke eller kontraktindgåelse som et overførselsgrundlag. Her kan I så overveje, om overførslen er nødvendig af hensyn til vigtige samfundsinteresser, fx udveksling af oplysninger i forbindelse med kontaktopsporing ved smitsomme sygdomme.
Vil I dokumentere krypteringen? Så afklar følgende punkter:
[ ] Inkluderer den overførte data følsomme eller fortrolige personoplysninger?
[ ] Er data beskyttet mod opsnapning fra modtagerlandets myndigheder?
[ ] Er data beskyttet med kryptering under transmission?
[ ] Er data beskyttet med kryptering i hvile?
[ ] Har dataimportøren adgang til eller kontrol over krypteringsnøglerne?
[ ] Er data beskyttet med hashing (envejskryptering) eller maskering?
[ ] Er data beskyttet med pseudonymisering?
Få mere at vide
Vil du vide mere, kan du altid kontakte os.
Du kan også holde dig opdateret med viden om databeskyttelse og GDPR med vores nyhedsbrev. Du kan tilmelde dig her nedenunder.