Databeskyttelse og informationssikkerhed

Schrems II-dommen

EU-domstolen har truffet afgørelse i den såkaldte "Schrems II-sag". Afgørelsen har betydning for kommunernes aftaler med deres databehandlere, når der overføres persondata til USA og andre tredjelande, fx via cloud-løsninger.

Hvis kommunerne via deres databehandlere overfører data om borgerne til tredjelande, dvs. lande uden for EU og EØS, skal kommunerne sikre sig, at der foreligger et særligt juridisk grundlag for overførslen. Det såkaldte "overførselsgrundlag". Det følger af reglerne i databeskyttelsesforordningen. Overførsler til tredjelande sker typisk, når databehandleren anvender en cloud-løsning.

Schrems II-dommen har to væsentlige konsekvenser for overførsler til tredjelande:

1) Ift. overførsler til USA:

EU-domstolen har taget stilling til, at det overførselsgrundlag, som man har kunnet anvende ved overførsler til USA, den såkaldte "Privacy Shield"-ordning (efterfølgeren til "Safe Harbour") ikke er et gyldigt overførselsgrundlag.

Domstolen har vurderet, at Privacy Shield-ordningen ikke giver den fornødne beskyttelse af persondata pga. USA´s lovgivning om national sikkerhed mv., som giver myndighederne særlige beføjelser i forhold til adgangen til data.

Afvisningen af Privacy Shield som gyldigt overførselsgrundlag betyder, at man som dataansvarlige skal anvende et andet overførselsgrundlag for overførslen af persondata til USA. Typisk ved at indgå en særskilt aftale med sine databehandlere udformet i overensstemmelse med EU-Kommissionens standardkontrakter, se dog pkt 2 nedenfor.

2) Ift. overførsler til tredjelande generelt, herunder til USA:

EU-domstolen stiller imidlertid i dommen generelt en række yderligere krav i forhold til brugen af EU-Kommissionens standardkontrakter. Hvad enten standardkontrakten anvendes til overførsler til USA eller andre tredjelande. Krav som det i praksis ikke er muligt eller hensigtsmæssigt, at man som dataansvarlig alene skal opfylde. Der stilles krav om, at man som dataansvarlig skal vurdere, hvorvidt lovgivningen i de enkelte tredjelande respekterer de krav til beskyttelse af data, som EU-lovgivningen stiller. Og hvis det ikke er tilfældet, skal man ligeledes analysere, hvilke supplerende foranstaltninger der skal aftales med leverandøren.

KL´s anbefaling

Det er KL´s klare anbefaling, at kommunerne afventer den analyse af dommens konsekvenser, som Det Europæiske Databeskyttelsesråd (sammenslutningen af de europæiske datatilsyn) vil foretage i den kommende tid. Det er KL´s vurdering, at der fra alle sider vil være stor interesse i at få fundet smidige løsninger til brug for overførsler af data til USA og andre tredjelande. – I stedet for, at hver enkelt dataansvarlig skal indgå særskilte standardkontrakter med deres leverandører og dertil foretage yderligere konkrete vurderinger af bl.a. tredjelandenes lovgivning.

Datatilsynet har udarbejdet en foreløbig Q&A om dommen og vil løbende komme med opdateringer om sagen på deres hjemmeside. Desuden har Det Europæiske Databeskyttelsesråd offentliggjort en foreløbig FAQ om dommen og dens konsekvenser, som løbende vil blive opdateret i takt med, at dommens konsekvenser bliver analyseret. Læs mere her.