18. januar 2021

KL's høringssvar til anbefalinger om supplerende foranstaltninger ved tredjelandsoverførsler

KL har den 21. december 2020 afgivet høringssvar til anbefalinger fra Det Europæiske Databeskyttelsesråd om supplerende foranstaltninger ved tredjelandsoverførsler

Anbefalingerne fra Det Europæiske Databeskyttelsesråd beskriver via seks skridt en fremgangsmåde til, hvordan man skal forholde sig, hvis man ønsker at overføre persondata til lande uden for EU. Fremgangsmåden er kendt, men flere af skridtene giver udfordringer for kommunerne. Det påpeger KL i høringssvaret.

Desuden indeholder anbefalingerne et bilag, der beskriver Det Europæiske Databeskyttelsesråds vurdering af passende kompenserende foranstaltninger. Disse vurderinger har store administrative og økonomiske konsekvenser for kommunerne. Det anfører KL også i høringssvaret.

Vurderingen af tredjelande bør foretages af EU-Kommissionen

Med Schrems II-dommen er kommunerne blevet pålagt at foretage en vurdering af tredjelandenes databeskyttelsesniveau, herunder lovgivning på området. Dette er et krav, hvis kommunerne anvender EU-Kommissionens standardkontrakter som overførselsgrundlag for overførsel af persondata til tredjelande, fx ved brug af cloud-løsninger. Kravet fremgår af anbefalingernes step 3 samt 6. I høringssvaret giver KL udtryk for, at EU-Kommissionen bør foretage denne vurdering samt pege på, hvilke kompenserende foranstaltninger, step 4, vurderingen af de enkelte tredjelande medfører. Alternativt bør opgaven løses af leverandørerne.

Der bør være fleksibilitet i valget af supplerende foranstaltninger 

I bilaget til anbefalingerne kommer Det Europæiske Databeskyttelsesråd med deres vurdering af, hvad der vil være passende kompenserende foranstaltninger i forskellige situationer. Bl.a. skærpede krav til kryptering og krav om, at data slet ikke kan overføres til usikre tredjelande via cloud-løsninger, hvis data overføres i såkaldt "klar tekst", hvad de i langt de fleste tilfælde gør.

KL påpeger derfor i høringssvaret, at KL er overrasket over, at den fleksibilitet i valget af sikkerhedsforanstaltninger, som GDPR er udtryk for, ikke er afspejlet i bilaget. Samt at bilagets krav og forbud vil have store økonomiske konsekvenser for de danske kommuner.

Materialer

  • PDF

    KL's Høringssvar.pdf

  • PDF

    Det Europæiske Databeskyttelsesråds anbefalinger om iværksættelse af supplerende foranstaltninger.pdf