08. juni 2022

Opdaterede KL-anbefalinger om tredjelandsoverførsler

Datatilsynet har i marts 2022 udgivet en ny cloud-vejledning. KL har opdateret sine anbefalinger til tredje-landsoverførsler i overensstemmelse med vejledningen.

Datatilsynets nye cloud-vejledning løser fortsat ikke problemet med brug af amerikanske cloud-leverandører, hvor data overføres til USA. Der er dog skabt mere klarhed om brugen af amerikanske leverandører inden for EU.

Mulighed for brug af amerikanske leverandører inden for EU

KL har overfor Datatilsynet haft efterspurgt afklaring af kommunernes muligheder for anvende amerikanske leverandører, der alene behandler data indenfor EU´s grænser. Leverandører som samtidig er underlagt amerikansk lovgivning, der pålægger leverandøren at udlevere personoplysninger til de amerikanske myndigheder. KL's høringssvar til Datatilsynets vejledning om cloud. Det bliver nu klart i den nye cloud-vejledning, at dette er muligt. Det kræver følgende:

  • At databehandleraftalen ikke via sin instruks eller i øvrigt giver mulighed for dataoverførsler til USA (tilsigtede dataoverførsler).
  • At kommunerne udarbejder en vurdering af risikoen for de registrerede ved, at leverandøren, utilsigtet, udleverer data som følge af en udleveringsanmodning fra de amerikanske myndigheder. Og at der på baggrund af risikovurderingen fastsættes passende sikkerhedsforanstaltninger, fx aftales aftalevilkår, hvorefter leverandøren skal anfægte anmodningen.

Ingen positivliste for USA-overførsler

KL havde håbet på, at vejledningen fra Datatilsynet ville indeholde en liste over "ikke efterretningsmæssigt efterspurgte data". – Data som fortsat umiddelbart ville kunne overføres til USA, på trods af Schrems II-dommen. Desværre er der ikke kommet en liste med i vejledningen. I stedet påpeger Datatilsynet i vejledningen, at det vil være vanskeligt at dokumentere, at konkrete personoplysninger ikke vil være genstand for amerikanske overvågningsprogrammer.

KL havde efterlyst en liste over, hvilke data der lovligt kan overføres til USA uden supplerende foranstaltninger i sit høringssvar til vejledningen

Begrænset brugbare løsninger til USA-overførsler

Vejledningen skitserer to muligheder for umiddelbare dataoverførsler til USA:

  • Oplysninger som "... er beregnet til at være offentligt tilgængelige ...", fx oplysninger, der offentliggøres på en virksomheds hjemmeside. Datatilsynet antager, at sådanne oplysninger ikke vil være omfattet af anvendelsesområdet af de overvågningsprogrammer, der er autoriseret under amerikansk FISA-lovgivning. Denne mulighed vil dog ikke have stor betydning for kommunerne, da kun en meget lille del af kommunale persondata gøres offenligt tilgængelige.
  • Hvis ens leverandør a) ikke tidligere har modtaget udleveringsanmodninger fra de amerikanske myndigheder, eller b) hvis ens leverandør tidligere har modtaget udleveringsanmodninger, men anmodningerne ikke har omfattet de oplysninger, man påtænker at overføre. Denne mulighed vil formentlig have begrænset praktisk betydning for kommunerne. Det skyldes, at det kræver, at kommunerne kan dokumentere, at leverandøren ikke er underlagt et forbud om at oplyse om udleveringsanmodningerne. Ligeledes skal kommunerne kunne dokumentere, at tidligere udleveringsanmodninger ikke har omfattet de oplysninger, man ønsker at overføre. Dette vil være svært for kommunerne at dokumentere.

Vejledningen gør det desuden meget klart, at der pt. ikke finde supplerende tekniske foranstaltninger, der vil kunne sikre et tilstrækkeligt beskyttelsesniveau, når leverandøren har behov for adgang til de overførte data i klartekst (hvilket som oftest vil være tilfældet). Kontraktuelle og organisatoriske foranstaltninger vil oftest heller ikke vil være tilstrækkelige, særligt ikke i forhold til efterretningstjenesters adgang til data. Kommunerne har derfor reelt ikke nogen mulighed for at anvende supplerende foranstaltninger til at muliggøre dataoverførsler til USA, der ikke falder ind under ovennævnte to muligheder for dataoverførsler.

Opdatering af KL´s anbefalinger til tredjelandsoverførsler 

Datatilsynets nye cloud-vejledning har givet anledning til, at KL har opdateret sine anbefalinger til tredjelandsoverførsler på følgende punkter:

  • KL anbefaler kommunerne at tage udgangspunkt i, at alle ikke godkendte/sikre tredjelande har problematisk lovgivning og/eller praksis.
  • KL anbefaler som udgangspunkt kommunerne ikke at indgå nye aftaler om dataoverførsler til USA, når leverandøren har behov for adgang til de overførte data i klartekst.

    Der vil dog i visse situationer kunne ske lovlige dataoverførsler til USA. Det er tilfældet, såfremt:
    - Der alene er tale om overførsel af offentligt tilgængelige data eller
    - Leverandøren ikke tidligere har modtaget udleveringsanmodninger fra de amerikanske myndigheder, og kommunen kan dokumentere, at leverandøren ikke er underlagt et forbud om at oplyse om udleveringsanmodningerne eller
    - Leverandøren tidligere har modtaget udleveringsanmodninger, men anmodningerne ikke har har omfattet de oplysninger, man påtænker at overføre, og kommunen kan dokumentere, at oplysningerne ikke har været omfattet af udleveringsanmodningerne.

I disse situationer vil der kunne indgås nye aftaler med instruks om overførsler af data til USA.

  • KL anbefaler kommunerne at gennemgå deres aftaler med amerikanske leverandører, der behandler data inden for EU. Sådan at der ikke sker tilsigtede dataoverførsler til USA. Og udarbejde vurdering af risikoen for de registrerede ved, at leverandøren, utilsigtet, udleverer data som følge af en udleveringsanmodning fra de amerikanske myndigheder. Samt at der på baggrund af risikovurderingen fastsættes passende sikkerhedsforanstaltninger, fx aftales aftalevilkår, hvorefter leverandøren skal anfægte anmodningen.

 

Link til KL´s opdaterede anbefalinger til tredjelandsoverførsler

Link til Datatilsynets cloud-vejledning

 

×

Log ind