01 okt Overførsel til usikre tredjelande: Opsummering på en ny retstilstand – standardkontraktbestemmelser (Standard Contractual Clauses)
1. oktober 2021
I kølvandet på Schrems II-afgørelsen og de nye standardkontraktbestemmelser (e. Standard Contractual Clauses – SCC), er det passende med en opsummering på retstilstanden for overførsel til usikre tredjelande. Fra den 27. september 2021 skal alle nye aftaler om overførsel til usikre tredjelande ved brug af standardbestemmelser være baseret på de nye standarder. Fra den 27. december 2022 skal alle aftaler om overførsel ved brug af standardbestemmelser være baseret på de nye standarder.
Schrems II-afgørelsen kort fortalt
Schrems II-afgørelsen underkendte for det første Privacy Shield som et lovligt overførselsgrundlag for overførsel af persondata til USA. USA bliver dermed betragtet på lige fod med andre usikre tredjelande. De usikre tredjelande er lande hvor databeskyttelsesniveauet som udgangspunkt ikke lever op til den standard vi har i EU og EØS. Disse lande har som udgangspunkt ikke tilstrækkelige regler omkring sikker behandling af data eller om landenes indsamling af persondata om borgere i EU og EØS. De sikre tredjelande er derimod lande, hvor EU Kommissionen har truffet afgørelse om, at der er et tilstrækkeligt databeskyttelsesniveau. Datatilsynets hjemmeside oplister de sikre tredjelande her.
Schrems II-afgørelsen fastslog for det andet, at standardkontraktbestemmelserne kun kan anvendes som lovligt overførselsgrundlag for overførsel til usikre tredjelande, hvor databeskyttelsesniveauet ikke lever op til standarden i EU, hvis der forinden implementeres supplerende foranstaltninger (ekstra sikkerhed), som garanterer et tilstrækkeligt beskyttelsesniveau for overførte persondata.
Undersøgelsespligt for den dataansvarlige
Schrems II-afgørelsen pålægger dataansvarlige en undersøgelsespligt inden overførsel af persondata til usikre tredjelande, når man bruger standardkontraktbestemmelser som overførselsgrundlag.
Et passende databeskyttelsesniveau i modtagerlandet forudsætter, at landets regler og praksis i det væsentligste lever op til de vedtagne fire europæiske essentielle garantier om, at der skal være:
- Klare, præcise og tilgængelige regler om adgang til EU-borgernes persondata hos modtagerlandets myndigheder
- Adgangen til data og brugen af dem skal være nødvendig og proportionel
- Der skal være etableret en uafhængig og effektiv tilsynsmyndighed
- Datasubjekter skal have adgang til effektive retsmidler
Ansvaret for den undersøgelse påhviler altid den dataansvarlige. Den dataansvarlige har også ansvaret for, at der implementeres supplerende foranstaltninger forinden overførsel, hvis databeskyttelsesniveauet er utilstrækkeligt. EU- Domstolen præciserer ikke, hvilke foranstaltninger der garanterer et tilstrækkeligt beskyttelsesniveau for overførte persondata.
Transfer impact assessment
Det Europæiske Databeskyttelsesråds endelige anbefalinger om supplerende foranstaltninger i forlængelse af Schrems II-afgørelsen fastlægger, at den dataansvarlige skal gennemføre en transfer impact assessment (TIA) inden overførsel af persondata. En transfer impact assessment er ikke det samme som en risikovurdering.
En risikovurdering har fokus på identificering af risici for de registrerede under hensyn til en behandlings karakter, omfang, formål og sammenhæng samt konsekvenserne for de registreredes rettigheder og frihedsrettigheder ved brud på persondatas fortrolighed, integritet og tilgængelighed.
Fokus for en transfer impact assessment er derimod, om det usikre tredjelands retsregler og praksis lever op til de fire essentielle europæiske garantier (ja eller nej) og om det er muligt at implementere supplerende foranstaltninger, som effektivt kan lukke de huller, hvor tredjelandets retsregler og praksis ikke lever op til garantierne (ja eller nej). Overførslen er kun lovlig, hvis man som dataansvarlig kan sikre disse garantier. Dette gælder uanset, hvilke risici der er forbundet med overførslen for de registrerede.
Først skal den dataansvarlige kortlægge overførsler af persondata (datastrømme) til tredjelande.
Dernæst skal den dataansvarlige verificere overførselsgrundlaget til de usikre tredjelande. Hvis overførsel til usikre tredjelande er baseret på standardkontraktbestemmelser, skal den dataansvarlige undersøge, om databeskyttelsesniveauet i modtagerlandet er tilstrækkeligt. Det vil være en næsten uoverkommelig opgave for mange dataansvarlige at foretage en undersøgelse af databeskyttelsesniveauet i usikre tredjelande inden overførsel. Skal der overføres persondata til USA, kan dataansvarlige dog allerede på baggrund af Schrems II-afgørelsen konkludere, at der på nuværende tidspunkt ikke er et tilstrækkeligt databeskyttelsesniveau. Skal der overføres persondata til andre usikre tredjelande, kan dataansvarlige f.eks. bruge det franske datatilsyns interaktive kort over lande og deres databeskyttelsesniveau og konkludere, om beskyttelsesniveauet i modtagerlandet er tilstrækkeligt.
Til sidst skal den dataansvarlige sikre regelmæssig kontrol af, om de implementerede supplerende foranstaltninger fortsat garanterer et tilstrækkeligt beskyttelsesniveau for persondata.
Hvilke supplerende foranstaltninger garanterer et tilstrækkeligt beskyttelsesniveau?
Det Europæiske Databeskyttelsesråd fastslår, at de førnævnte implementeringer både skal omfatte organisatoriske, kontraktmæssige og tekniske supplerende foranstaltninger.
Organisatoriske foranstaltninger kan f.eks. være adgangsstyring, logning, uddannelse og awareness hos databehandleren. Kontraktmæssige foranstaltninger kan f.eks. være bestemmelser om:
- at databehandleren kun må udlevere data til myndigheder, hvis den dataansvarlige er forpligtiget til at udlevere dem
- at den dataansvarlige skal udfordre myndigheders anmodninger om udlevering af data
- at databehandleren ved udlevering af data til myndigheder skal underrette den dataansvarlige hurtigst muligt.
Det er vigtigt at være opmærksom på, at nøglen til et tilstrækkeligt beskyttelsesniveau ligger i implementering af effektive tekniske supplerende foranstaltninger, det er ikke tilstrækkeligt kun at implementere organisatoriske og kontraktmæssige supplerende foranstaltninger.
På baggrund af anbefalingerne fra det Europæiske Databeskyttelsesråd kan det konkluderes, at følgende tekniske foranstaltninger er tilstrækkelige til at sikre beskyttelse af persondata:
- Stærk kryptering af persondata og håndtering af dekrypteringsnøgler på en måde, som forhindrer adgang til dekrypteringsnøglen hos myndigheder i usikre tredjelande.
- Effektiv pseudonymisering af persondata og/eller opsplitning af persondata hos flere forskellige databehandlere forudsat, at foranstaltningerne effektivt forhindrer, at persondata kan sammenkobles på en måde, som giver mulighed for at identificere de registrerede.
De nye standardkontraktbestemmelser
I juni 2021 blev EU’s standardkontraktbestemmelser om overførsel til usikre tredjelande ændret. De nye standardkontraktbestemmelser er, i modsætning til de hidtidige, opbygget som moduler, som skal tilpasses efter overførselssituationen. Modulerne tager højde for, at der kan ske overførsel af persondata til usikre tredjelande fra:
- Dataansvarlig til databehandler
- Dataansvarlig til dataansvarlig
- Databehandler til databehandler
- Databehandler til dataansvarlig
Det er vigtigt, at de, der benytter de nye standardkontraktbestemmelser som overførselsgrundlag, tilvælger de rigtige moduler for overførslen.
Det er også vigtigt at være opmærksom på overgangsordningen, hvorefter de nye standardkontraktbestemmelser fra den 27. september 2021 skal bruges på nye aftaler om overførsel af persondata til usikre tredjelande. Fra den 27. december 2022 skal alle aftaler om overførsel ved brug af standardkontraktbestemmelser, være baseret på de nye standardkontraktbestemmelser. Dataansvarlige og databehandlere vil således skulle konvertere eventuelle gamle standardkontraktbestemmelser til de nye standarder senest den 27. december 2022.