Digitalisering og Teknologi Databeskyttelse og informationssikkerhed

Schrems II-dommen

EU-domstolen har truffet afgørelse i den såkaldte "Schrems II-sag". Afgørelsen har betydning for kommunernes aftaler med deres databehandlere, når der overføres persondata til USA og andre tredjelande, fx via cloud-løsninger.

Hvis kommunerne via deres databehandlere overfører data om borgerne til tredjelande, dvs. lande uden for EU og EØS, skal kommunerne sikre sig, at der foreligger et særligt juridisk grundlag for overførslen. Det såkaldte "overførselsgrundlag". Det følger af reglerne i databeskyttelsesforordningen. Overførsler til tredjelande sker typisk, når databehandleren anvender en cloud-løsning.

Schrems II-dommen har to væsentlige konsekvenser for overførsler til tredjelande:

1) Ift. overførsler til USA:

EU-domstolen har taget stilling til, at det overførselsgrundlag, som man har kunnet anvende ved overførsler til USA, den såkaldte "Privacy Shield"-ordning (efterfølgeren til "Safe Harbour") ikke er et gyldigt overførselsgrundlag.

Domstolen har vurderet, at Privacy Shield-ordningen ikke giver den fornødne beskyttelse af persondata pga. USA´s lovgivning om national sikkerhed mv., som giver myndighederne særlige beføjelser i forhold til adgangen til data.

Afvisningen af Privacy Shield som gyldigt overførselsgrundlag betyder, at man som dataansvarlige skal anvende et andet overførselsgrundlag for overførslen af persondata til USA. Typisk ved at indgå en særskilt aftale med sine databehandlere udformet i overensstemmelse med EU-Kommissionens standardkontrakter, se dog pkt 2 nedenfor.

2) Ift. overførsler til tredjelande generelt, herunder til USA:

EU-domstolen stiller imidlertid i dommen generelt en række yderligere krav i forhold til brugen af EU-Kommissionens standardkontrakter. Hvad enten standardkontrakten anvendes til overførsler til USA eller andre tredjelande. Krav som det i praksis ikke er muligt eller hensigtsmæssigt, at man som dataansvarlig alene skal opfylde. Der stilles krav om, at man som dataansvarlig skal vurdere, hvorvidt lovgivningen i de enkelte tredjelande respekterer de krav til beskyttelse af data, som EU-lovgivningen stiller. Og hvis det ikke er tilfældet, skal man ligeledes analysere, hvilke supplerende foranstaltninger der skal aftales med leverandøren.

KL's anbefaling

Det er KL's anbefaling, at kommunerne går i gang med at følge de seks skridt for ansvarlig dataoverførsel, som er beskrevet i Det Europæiske Databeskyttelsesråds anbefalinger om iværksættelse af supplerende foranstaltninger (pdf).

KL anbefaler dog, at kommunerne ikke går i gang med at vurdere tredjelandenes databeskyttelsesniveau, herunder lovgivning på området, men lader leverandørerne foretage denne opgave, eftersom leverandørerne må formodes allerede at kende lovgivningen i de tredjelande, de overfører data til.

Det betyder, at kommunerne bør:

1. Skabe sig overblik over alle de behandlingssituationer, hvor kommunens persondata overføres til tredjelande.
Dette kan ske ved at gennemgå sine databehandleraftaler, hvor behandlingernes lokalitet og instruks for tredjelandsoverførsler er reguleret.

2. Få overblik over, hvilket overførselsgrundlag der er anvendt for overførslerne (tredjelande godkendt af Kommissionen (se Datatilsynets vejledning s. 8-9 (pdf)), jf. GDPR artikel 45, EU-Kommissionens standardkontraktsbestemmelser eller Privacy Shield ift. overførsler til USA).
Overførselsgrundlaget for tredjelandsoverførslerne vil også fremgå af databehandleraftalerne.

3. Anvende EU-Kommissionens standardkontraktsbestemmelser til at få aftalt nye overførselsgrundlag med deres leverandører/databehandlere, hvis nogle af kommunens overførsler har været baseret på Privacy Shield-ordningen i USA.
Her kan kommunerne bede deres leverandører om udkast til standardkontraktsaftale.

4. Tage kontakt til deres leverandører/databehandlere og bede om information om, hvorvidt leverandøren mener, at der er forhold i de tredjelande, som leverandøren (eller leverandørens underdatabehandler) overfører data til, som gør, at standardkontraktsaftalen ikke vil være databeskyttelsesmæssigt effektiv. Kommunerne bør forholde sig til denne information og dokumentere dette.
Denne kontakt skal kun tages, hvis de givne tredjelandsoverførsler baserer sig på en standardkontrakt. Tredjelande godkendt af EU-Kommissionen, jf. artikel 45, skal ikke undersøges nærmere. Der er desuden ikke grund til at bede leverandørerne/databehandlerne om information om USA, eftersom Schrems II-dommen har foretaget vurdering af forholdene i USA.

5. Drøfte med deres leverandører/databehandlere, om der er behov for at indgå aftale om supplerende foranstaltninger på baggrund af leverandørens vurdering af forholdene i de pågældende tredjelande. Drøftelserne bør dokumenteres.
Dette gælder kun, hvis de givne tredjelandsoverførsler baserer sig på en standardkontrakt OG leverandøren har tilkendegivet, jf. punkt 4), at standardkontraktsaftalens effektivitet vil være påvirket af et givent tredjelands forhold, herunder lovgivning og praksis. I forhold til USA anbefaler KL, at kommunerne afventer den endelige udgave af Det Europæiske Databeskyttelsesråds anbefalinger om iværksættelse af supplerende foranstaltninger for at se, hvilke supplerende foranstaltninger det eventuelt vil være muligt at anvende i forhold til USA.

6. Aftale med deres leverandører/databehandlere, hvordan leverandøren giver information til kommunen, såfremt der sker ændringer i forholdene i de tredjelande, som der er indgået aftale om at overføre data til. Sådan at kommunen kan forholde sig til forholdene, og kommunen og leverandøren eventuelt kan aftale supplerende foranstaltninger, jf. punkt 4) og 5) ovenfor.

 

 

 

 

Senest opdateret: 22.01.2021