Digitalisering og Teknologi Databeskyttelse og informationssikkerhed

Schrems II-dommen

EU-domstolen har i juli 2020 truffet afgørelse i den såkaldte "Schrems II-sag". Afgørelsen har betydning for kommunernes aftaler med deres databehandlere, når der overføres persondata til USA og andre tredjelande, fx via cloud-løsninger.

 

Hvis kommunerne via deres databehandlere overfører data om borgerne til tredjelande, dvs. lande uden for EU og EØS, skal kommunerne sikre sig, at der foreligger et særligt juridisk grundlag for overførslen. Det såkaldte "overførselsgrundlag". Det følger af reglerne i databeskyttelsesforordningen. Overførsler til tredjelande sker typisk, når databehandleren anvender en cloud-løsning.

Schrems II-dommen har to væsentlige konsekvenser for overførsler til tredjelande:

1) Ift. overførsler til USA:

EU-domstolen har taget stilling til, at det overførselsgrundlag, som man har kunnet anvende ved overførsler til USA, den såkaldte "Privacy Shield"-ordning (efterfølgeren til "Safe Harbour") ikke er et gyldigt overførselsgrundlag.

Domstolen har vurderet, at Privacy Shield-ordningen ikke giver den fornødne beskyttelse af persondata pga. USA´s lovgivning om national sikkerhed mv., som giver myndighederne særlige beføjelser i forhold til adgangen til data.

Afvisningen af Privacy Shield som gyldigt overførselsgrundlag betyder, at man som dataansvarlig skal anvende et andet overførselsgrundlag for overførslen af persondata til USA. Typisk ved at indgå en særskilt aftale med sine databehandlere udformet i overensstemmelse med EU-Kommissionens standardkontrakter, se dog pkt 2 nedenfor.

2) Ift. overførsler til tredjelande generelt, herunder til USA:

EU-domstolen stiller imidlertid i dommen yderligere krav i forhold til brugen af EU-Kommissionens standardkontrakter. Hvad enten standardkontrakten anvendes til overførsler til USA eller andre tredjelande. Som dataansvarlig skal man kortlægge, om lovgivningen og praksis i de enkelte tredjelande respekterer de krav til beskyttelse af data, som EU-lovgivningen stiller. – Sådan at overførselsgrundlaget i praksis er effektivt. Og dette skal ske i forhold til de specifikke dataoverførsler til det enkelte tredjeland.

Og hvis det ikke er tilfældet, skal man ligeledes afklare, hvilke supplerende foranstaltninger der skal aftales med leverandøren for at opnå et effektivt beskyttelsesniveau.

KL´s anbefaling

Det er KL´s anbefaling, at kommunerne følger de seks skridt for ansvarlig dataoverførsel, som er beskrevet i Det Europæiske Databeskyttelsesråds "Henstilling nr. 01/2020 om foranstaltninger, der supplerer overførselsværktøjer for at sikre overholdelse af EU-niveauet for beskyttelse af personoplysninger".

KL anbefaler dog, at kommunerne ikke bruger resurser på at vurdere hver enkelt tredjelands databeskyttelsesniveau i forhold til de enkelte dataoverførsler, herunder lovgivning og praksis på området. I stedet anbefaler KL kommunerne at tage udgangspunkt i, at alle ikke godkendte tredjelande har problematisk lovgivning og/eller praksis. Sådan som Datatilsynet lægger op til i deres cloud-vejledning, s. 20. 

Det betyder, at kommunerne i forhold til tredjelandsoverførsler bør:

1) skabe sig overblik over alle de behandlingssituationer, hvor kommunens persondata overføres til tredjelande.
Dette kan ske ved at gennemgå sine databehandleraftaler, hvor behandlingernes lokalitet og instruks for tredjelandsoverførsler er reguleret.

2) få overblik over, hvilket overførselsgrundlag der er anvendt for overførslerne (tredjelande godkendt af Kommissionen, jf. GDPR artikel 45, (se Datatilsynets hjemmeside om tredjelandsoverførsler), EU-Kommissionens standardkontraktsbestemmelser eller Privacy Shield ift. overførsler til USA).
Overførselsgrundlaget for tredjelandsoverførslerne vil også fremgå af databehandleraftalerne.

3) anvende EU-Kommissionens standardkontraktsbestemmelser til at få aftalt nye overførselsgrundlag med deres leverandører/databehandlere, hvis nogle af kommunens overførsler har været baseret på Privacy Shield-ordningen i USA.
Her kan kommunerne bede deres leverandører om udkast til standardkontraktsaftale.

4) vurdere, om der er forhold i de tredjelande, som leverandøren (eller leverandørens underdatabehandler) overfører data til, som gør, at standardkontraktsaftalen ikke vil være databeskyttelsesmæssigt effektiv.
Her kan kommunerne tage udgangspunkt i, at alle ikke godkendte tredjelande har problematisk lovgivning og/eller praksis som gør, at standardkontraktsaftalen ikke vil være databeskyttelsesmæssigt effektiv, jf. Datatilsynets cloud-vejledning, s. 20.
Vurderingen skal kun foretages, hvis de givne tredjelandsoverførsler baserer sig på en standardkontrakt. Tredjelande godkendt af EU-Kommissionen, jf. artikel 45, skal ikke undersøges nærmere. Der er desuden ikke grund til at bede leverandørerne/databehandlerne om information om USA, eftersom Schrems II-dommen har foretaget vurdering af forholdene i USA og fundet, at landets lovgivning er problematisk.

5) drøfte med deres leverandører/databehandlere, om der er behov for at indgå aftale om supplerende foranstaltninger på baggrund af leverandørens vurdering af forholdene i de pågældende tredjelande. Drøftelserne bør dokumenteres.
Dette gælder kun, hvis de givne tredjelandsoverførsler baserer sig på en standardkontrakt, og det er vurderingen, jf. punkt 4), at standardkontraktsaftalens effektivitet vil være påvirket af et givent tredjelands forhold, herunder lovgivning og praksis.

a) I forhold til overførsler til USA anbefaler KL:

At der ikke indgås nye databehandleraftaler om dataoverførsler til USA, når leverandøren har behov for adgang til de overførte data i klartekst. Idet der pt. ikke findes supplerende tekniske foranstaltninger, der vil kunne sikre et tilstrækkeligt beskyttelsesniveau herfor. Der vil dog i visse situationer kunne ske lovlige dataoverførsler til USA.

Det er tilfældet, såfremt:

  • Der alene er tale om overførsel af offentligt tilgængelige data eller
  • Leverandøren ikke tidligere har modtaget udleveringsanmodninger fra de amerikanske myndigheder, og kommunen kan dokumentere, at leverandøren ikke er underlagt et forbud om at oplyse om udleveringsanmodningerne eller
  • Leverandøren tidligere har modtaget udleveringsanmodninger, men anmodningerne ikke har har omfattet de oplysninger, man påtænker at overføre, og kommunen kan dokumentere, at oplysningerne ikke har været omfattet af udleveringsanmodningerne.

I disse situationer vil der kunne indgås nye aftaler med instruks om overførsler af data til USA.


b) I forhold til brug af amerikanske leverandører inden for EU anbefaler KL:

  • At kommunerne gennemgår deres databehandleraftaler med deres amerikanske leverandører for at sikre sig, at aftalerne ikke via deres instruks eller i øvrigt giver mulighed for tilsigtede dataoverførsler til USA (medmindre der er tale om en af de tre undtagelsessituationer nævnt under a).
    Eksempelvis bør kommunerne sikre sig, at aftalerne ikke indeholder brede formuleringer, der giver leverandøren mulighed for at overføre data, fx "hvis det er nødvendigt for at overholde lovgivning eller bindende myndighedsanmodninger”. Der bør kun være mulighed for overførsler til USA, hvis det kræves i henhold til EU-ret eller medlemsstaternes nationale ret, jf. databeskyttelsesforordningens art. 28, stk. 3, litra a.
  • At kommunerne udarbejder en vurdering af risikoen for de registrerede ved, at leverandøren, utilsigtet og i strid med det, der fremgår af databehandleraftalen, udleverer data som følge af en udleveringsanmodning fra de amerikanske myndigheder. Og at der på baggrund af risikovurderingen fastsættes passende sikkerhedsforanstaltninger, fx aftales aftalevilkår, hvorefter leverandøren skal anfægte anmodningen. Se nærmere i Datatilsynets cloud-vejledning, eksempel 14, s. 30-31.

6) aftale med deres leverandører/databehandlere, hvordan leverandøren giver information til kommunen, såfremt der sker ændringer i forholdene i de tredjelande, som der er indgået aftale om at overføre data til. Sådan at kommunen kan forholde sig til forholdene, og kommunen og leverandøren eventuelt kan aftale yderligere, supplerende foranstaltninger, jf. punkt 4) og 5) ovenfor.

Opdateret 8. juni 2022.

×

Log ind