Vi har længe haft regler om, at personoplysninger om EU-borgere som udgangspunkt skal blive inden for EU. Hvis man alligevel overfører oplysningerne ud af EU, skal man passe særligt godt på dem. Ingen (inkl. myndighederne) har imidlertid haft særlig meget fokus på emnet, og derfor er vi stort set alle endt med at lægge vores data "i skyen", hvor f.eks. amerikanske efterretningstjenester har adgang.
Konsekvensen er, at mange af de mest gængse løsninger, vi alle bruger i vores hverdag, principielt set er ulovlige at bruge her og nu. Men vi mener ikke, at der på nuværende tidspunkt er grund til panik.
EU-Domstolen har tvunget os alle til at tage reglerne om overførsler ud af EU mere seriøst, og derfor er vores anbefaling, at man benytter anledningen til at gennemgå de 5 trin, som Datatilsynet generelt anbefaler i deres vejledning om tredjelandsoverførsler, her.
Der er tale om en tredjelandsoverførsel, hvis oplysningerne kan tilgås af modtagere uden for EU. Det er først og fremmest tilfældet, hvis man direkte sender oplysningerne til en modtager, som befinder sig uden for EU, f.eks. hvis man sender oplysninger om ansatte til et moderselskab i USA.
Hvis der er tale om en overførsel ud af EU, skal man sikre sig, at overførslen overholder forordningens generelle krav. Typiske eksempler herpå er, at hvis det er en leverandør, der overfører oplysningerne ud af EU, så er en databehandleraftale muligvis påkrævet, jf. artikel 28. Eller hvis det er en forsker, der sender data til en forskerkollega uden for EU, så kræver dette et selvstændigt behandlingsgrundlag, jf. art. 6 og 9 i forordningen.
Når man har konstateret, at der er tale om en tredjelandsoverførsel og vurderet, at GDPR’s generelle krav kan overholdes, kan man med fordel tjekke, om der er tale om et såkaldt ”sikkert tredjeland”. Hvis det land, man overfører oplysninger til, står på listen over lande godkendt af EU-Kommissionen, så behøver man ikke at opfylde yderligere særkrav for den pågældende overførsel. Så har EU-Kommissionen nemlig allerede vurderet, at der i det pågældende land kan etableres tilstrækkelig sikkerhed.
I mange tilfælde vil der være tale om en overførsel til et land, der ikke er godkendt af EU-Kommissionen (dvs. et ”usikkert tredjeland”), og man skal derfor sikre sig, at de særlige betingelser i forordningens artikel 44-50 er opfyldt.
Udfordringen er her, at dommen principielt betyder, at man f.eks. som kunde hos en cloud-leverandør bør forholde sig til, hvorvidt der er en risiko for, at myndigheder i et andet land uretmæssigt kan tilgå oplysningerne. Da Domstolen i sagen specifikt fremhævede de vidtgående beføjelser for de amerikanske efterretningstjenester, har dommen konsekvenser for langt de fleste cloudløsninger, herunder disse (ikke udtømmende): Office 365, Zoom, Google Analytics, HR Manager, MailChimp, DocuSign, Mailchimp, Dropbox, Slack, Trello osv. Disse (og de fleste andre) tjenester ligger nemlig i sidste ende på servere ejet af enten Microsoft, Google eller Amazon.
Det er vores vurdering, at udfordringerne med at bruge US-baserede cloudløsninger bør og vil blive løst på et politisk og/eller internationalt plan. Det vil sige, at man som helt almindelig kunde på løsningerne ikke selv skal i gang med at foretage en vurdering af andre landes lovgivninger, beføjelser og rettigheder for f.eks. efterretningstjenester. Det er dog endnu for tidligt at sige, hvorvidt vi får ret i denne vurdering. Som minimum må vi kunne forvente, at de europæiske tilsynsmyndigheder melder en mere konkret stillingtagen til dommens konsekvenser ud, herunder vejledning til, hvordan man i praksis bør forholde sig.
Vi opfordrer derfor til, at man i første omgang starter med at gennemgå de 5 trin beskrevet ovenfor. Hertil bør der udarbejdes en kortlægning af alle tredjelandsoverførsler og det tilhørende lovlige overførselsgrundlag. Dette omfatter både organisationens egne ”bevidste” overførsler ud af EU, f.eks. hvis man sender oplysninger om sine ansatte til et moderselskab uden for EU samt de tilfælde, hvor overførslen alene er en konsekvens af, at ens data hostes af f.eks. en amerikansk udbyder.
Endelig opfordrer vi til, at man holder sig løbende opdateret på udviklingen i dommens betydning i praksis, og vi vil selvfølgelig også bidrage hertil via GDPR NYT.
Jesper Løffler Nielsen fra Focus Advokaters GDPR-team har skrevet to blogindlæg om sagen: I det ene forklarer han hele baggrunden for sagen, nemlig at teknologien (endnu engang) er løbet fra lovgivningen. I det seneste (af 8. september 2020) giver Jesper en mere dybdegående analyse af sagen og dens mange facetter.
Har du spørgsmål til emnet eller brug for rådgivning, står vores GDPR-team altid klar til at yde kvalificeret rådgivning.
Jesper Løffler Nielsen
Entreprisekontrakter i nybyggeri – hvad skal du som bygherre være opmærksom på?
Nye og opdaterede regler om konkurskarantæne på vej
Ny dom fra Højesteret om 120-dages reglen