Må man ikke længere sende personoplysninger til USA? Og er cloud så dødt?

Siden EU-Domstolen den 16. juli 2020 afsagde den famøse Schrems II-dom, har der hersket stor usikkerhed hos virksomheder, myndigheder og organisationer i hele Europa. Selv tilsynsmyndigheder i Europa står spørgende tilbage. For med dommen erklærede EU-Domstolen det tidligere lovgrundlag for at overføre personoplysninger til USA for ugyldigt, og kom samtidig frem til, at USA er et usikkert tredjeland, som ikke har et databeskyttelsesniveau på højde med det, vi har i Europa.

Betyder det så, at der ikke må sendes oplysninger over Atlanten? Og skal man så stoppe brugen af cloud-services fra fx Microsoft og Google, som har lokationer i USA? 

For at svare på disse spørgsmål udgav Det Europæiske Databeskyttelsesråd (EDPB) i november en række anbefalinger til bl.a. virksomheder, som vil sende personoplysninger ud af EU. Spørgsmålet er, om disse anbefalinger reelt kan følges i praksis. PwC gennemgår her anbefalingerne og konkretiserer de forslag til foranstaltninger og kontroller, som er nødvendige at implementere for at kunne sende personoplysninger til fx USA og Indien. 

Det er PwC’s opfattelse, at EDPB’s anbefalinger tydeliggør de udfordringer, virksomheder og myndigheder står i, bl.a. ved anvendelsen af amerikanske cloud-leverandører.

EDPB’s vejledning om tredjelandsoverførsler har været i offentlig høring og forventes at blive udgivet endeligt i løbet af maj/juni. PwC anbefaler, at man allerede nu påbegynder arbejdet med sine overførsler, og vi vejleder derfor vores kunder herom. 

Afgørelsen

Schrems II-dommen fastslog, at overførsel af personoplysninger til lande uden for EU forudsætter, at beskyttelsesniveauet af oplysningerne svarer til niveauet i EU. Domstolen erklærede det tidligere grundlag for at sende oplysninger til USA (Privacy Shield-ordningen) for ugyldigt, men kom trøstende frem til, at EU-Kommissionens standardkontrakter (SCC) fortsat kan bruges som grundlag for at sende personoplysninger fra EU til lande, som ikke er medlem af EU eller EØS. For at leve op til EU-reglerne skal man – inden igangsættelse af overførsel af data til et tredjeland – vurdere, om data beskyttes lige så godt i tredjelandet, som hvis data var blevet i EU. 

EU-Domstolen kom frem til, at beskyttelsesniveauet i USA ikke er på højde med det, vi har i Europa. Derfor skal der altid implementeres, hvad EDPB kalder ”supplerende foranstaltninger”, hvis personoplysninger ønskes overført til USA. 

Hvis foranstaltninger ikke implementeres, kan der ikke sendes personoplysninger til USA, medmindre en af de særlige undtagelser i art. 49 gør sig gældende. Undtagelserne gælder meget sjældent, og de kan ikke bruges ved faste overførsler, fx brug af cloud-tjenester. 

Det er vigtigt at bemærke, at der ikke skal særlig meget til, før der er tale om en ”overførsel” af personoplysninger. Selv en ”se-adgang” for en supportmedarbejder i fx Indien eller USA anses for en overførsel til et tredjeland.

Alt dette efterlader store praktiske udfordringer for alle, som sender personoplysninger ud af EU, fx cloud-løsninger og koncernforbundne virksomheder i tredjelande.

PwC anbefaler

PwC anbefaler at følge EDPB’s anbefalinger og sørge for skriftlig dokumentation, som ligeledes ledelsesgodkendes.

EDPB’s anbefalinger inkluderer en trin-for-trin-guide:

Trin 1 – Kend dine overførsler

Først og fremmest skal afsendere af personoplysninger skabe sig et overblik over deres overførsler. Man bør stille sig selv følgende spørgsmål:

• Hvilke personoplysninger behandles? Er det navn, adresse og e-mail? Eller er der også følsomme data, fx helbredsoplysninger? 
• Hvem vedrører personoplysningerne? Er det fx HR-oplysninger eller kundedata?
• Hvornår overføres der personoplysninger? 
• Hvortil overføres personoplysningerne, fx Indien eller USA?
• Til hvilket formål overføres der personoplysninger? Formålet kan fx være markedsføring, overholdelse af lovkrav eller hensynet til at opfylde en kontrakt.
• Er overførslen tilstrækkelig, relevant og begrænset til, hvad der er nødvendigt under hensyntagen til formålet med overførslen? Overvej her, om der sendes mere, end hvad der reelt er nødvendigt.

Disse spørgsmål kan man med fordel stille sig i forbindelse med kortlægningen af organisationens behandlingsaktiviteter og udarbejdelse af artikel 30-fortegnelser. 

PwC anbefaler, at man i denne forbindelse – og helt generelt – foretager en risikovurdering af sine overførsler samt dokumenterer sine beslutninger og overvejelser, da denne vurdering kan danne grundlag for implementeringen af sikkerhedsforanstaltninger til beskyttelse af personoplysninger. Det er vigtigt, at der i en GDPR-risikovurdering er fokus på konsekvensen for de registrerede (fx kunder og ansatte) frem for risikoen og konsekvensen for virksomheden. 

Trin 2 – Kend dine overførselsgrundlag

Som afsender af personoplysninger bør man få et overblik over sit grundlag for at overføre data. Lovgrundlagene fremgår af GDPR’s kapitel 5. EU-Kommissionen kan erklære, at lande, regioner eller sektorer har et tilstrækkeligt beskyttelsesniveau. Fx er Argentina p.t. godkendt som et sikkert tredjeland, og Storbritannien kunne meget vel også blive det, efter at særaftalen udløber den 1. juli 2021. Ved sikre tredjelande beskriver EDPB, at man alene skal overvåge, at kommissionens beslutning forbliver gyldig. Kommissionen offentliggør løbende disse afgørelser.

Hvis landet, man ønsker at overføre personoplysninger til, ikke er at finde på listen, kan man i stedet kigge i artikel 46, som oplister en række fornødne garantier:

• Retligt bindende instrumenter (fx aftaler) mellem offentlige myndigheder eller organer
• Bindende virksomhedsregler, også kendt som BCR’er
• Adfærdskodekser og certificeringsmekanismer
• Standardbestemmelser om databeskyttelse 
• Ad hoc-kontrakter.

Selvom der sendes personoplysninger til et tredjeland på baggrund af et af lovgrundlagene ovenfor, skal man fortsat sikre, at oplysningerne beskyttes på et tilsvarende niveau, som hvis oplysningerne blev i EU.

Der skal derfor gennemføres en vurdering af, om der er noget i tredjelandets lovgivning eller praksis, der kan forringe effektiviteten af de passende beskyttelsesforanstaltninger, som overførselsgrundlaget i GDPR’s artikel 46 indeholder. Dvs. at hvis der planlægges en overførsel af personoplysninger til Indien, skal det vurderes, om indisk lovgivning eller retspraksis forringer beskyttelsen af de personoplysninger, der ønskes overført. 

Samtidig skal det stadig vurderes, om der skal indgås en databehandleraftale med den part, der overføres data til. Både overførselsgrundlaget og vurderingen af dataansvarlig/databehandler skal være på plads, inden der overføres data. Et overførselsgrundlag er altså ikke en erstatning for en databehandleraftale.

Trin 3 – Tredjelandets databeskyttelsesniveau

Næste trin indebærer en vurdering af, om databeskyttelsesniveauet i det pågældende tredjeland er på højde med EU’s beskyttelsesniveau.

EU-Domstolen fastslog i Schrems II-dommen, at da amerikanske efterretningstjenester har vide rammer for at få adgang til data, kan der ikke sendes data til USA, medmindre der implementeres yderligere sikkerhedsforanstaltninger og kontroller, som sikrer et beskyttelsesniveau svarende til det i EU.

Der skal derfor identificeres og implementeres supplerende foranstaltninger, som vil bringe beskyttelsen op på EU-niveau. Dette vil kunne ske på baggrund af risikovurderingen i trin 1. 

Se det som, at naboen skal passe familiens hund, mens familien er 14 dage i sommerhus. Hunden er i dette tilfælde forretningens kundedata, og naboen er Microsofts cloud-service. Familien ønsker selvfølgelig ikke, at der skal ske hunden noget, eller at den skal opleve nogle gener, mens familien er i sommerhus. Familien sørger derfor for, at hunden får hundekurv, hundemad, medicin og lignende med over til naboen. Familien kan imidlertid se, at naboen, som ikke selv har hund, ikke har hegn rundt om haven, som familien ellers har. Familien har således identificeret en supplerende foranstaltning.

Familien spørger derfor naboen, om de kan sætte et hegn op i haven, så hunden ikke løber væk. Naboens mindre børn har glædet sig meget til at passe hund, så naboen indvilliger heri. Dagen inden afrejse afleverer familien alle hundens fornødenheder og sætter hegnet op hos naboen. Familien har således implementeret den supplerende foranstaltning og sørget for, at hunden er beskyttet, lige så godt som hvis familien var blevet hjemme.

Trin 4 – Supplerende foranstaltninger

EDPB har oplistet en række eksempler på, hvilke supplerende foranstaltninger en europæisk afsender af data kan implementere for at sikre, at den specifikke overførsel lever op til EU-standarden. Om disse foranstaltninger reelt virker, skal vurderes konkret for hver specifik overførsel, der foretages. Foranstaltningerne kan både være tekniske, organisatoriske og kontraktuelle. 

EDPB nævner fx stærk kryptering af data. Krypteringsnøglen skal blive i EU og udelukkende være underlagt afsenderen eller en anden betroet organisations kontrol. EDPB nævner også i) pseudonymisering af oplysningerne og ii) organisatoriske foranstaltninger, der sikrer transparens, samt iii) kontraktuelle forpligtelser, der sikrer den registrerede effektive retsmidler, så den registrerede kan udøve sine rettigheder over for landet, oplysningerne sendes til. 

Listen skal ikke opfattes som udtømmende, og der er mulighed for andre passende supplerende foranstaltninger, så længe der er en fornuftig vurdering bag.

Det er PwC’s vurdering, at kryptering og administration af brugerrettigheder (brugeradministration) må betegnes som reelle muligheder for i praksis at højne beskyttelsen af oplysningerne. 

Hvis det vurderes, at ingen supplerende foranstaltninger kan sikre et tilstrækkeligt beskyttelsesniveau, anfører EDPB, at man skal undgå, suspendere eller stoppe overførslen af personoplysninger. Derudover er det som nævnt ovenfor vigtigt, at vurderingen dokumenteres.

Sidst i denne artikel ses en række eksempler fra EDPB på supplerende sikkerhedsforanstaltninger.

Trin 5 – Processuelle skridt

Det femte trin i EDPB’s guide er at tage de formelle processuelle skridt, som de supplerende foranstaltninger måtte kræve – afhængig af hvilket artikel 46-overførselsgrundlag der anvendes. 

Det betyder, at man skal sikre, at de supplerende foranstaltninger, man har valgt at træffe, ikke er modstridende med det overførselsgrundlag, man benytter efter artikel 46 – typisk standardkontrakt (SCC), men også BCR’er og ad hoc-kontrakter – og at foranstaltningerne reelt sikrer, at det beskyttelsesniveau, der garanteres i GDPR, ikke undermineres. Foranstaltningerne må fx ikke hindre de registrerede i at få indsigt i deres personoplysninger.

Trin 6 – Revurdér beskyttelsesniveauet

Det sjette og sidste trin er, at der kontinuerligt og med passende intervaller gennemføres en revurdering af beskyttelsesniveauet for de data, der overføres til tredjelande, og at det overvåges, om der har været eller vil være en udvikling, der kan påvirke beskyttelsesniveauet.

PwC’s vurdering

PwC anerkender kompleksiteten af de udfordringer, som Schrems II-dommen medfører for alle virksomheder og organisationer i EU. Det er PwC’s vurdering, at det på nuværende tidspunkt vil være meget kompliceret og omkostningsfuldt at implementere passende supplerende foranstaltninger for at sikre, at en overførsel af data lever op til EU’s databeskyttelsesniveau. 

Der er mange, der har (for) høje forventninger til den endelige udgave af EDPB’s vejledning om overførsel til tredjeland. Det er PwC’s vurdering, at det vil være overraskende, hvis den endelige udgave af vejledningen er væsentligt ændret i forhold til udkastet fra november 2020. Arbejdet med tredjelandsoverførsler kan derfor lige så vel påbegyndes allerede nu.

PwC anbefaler, at virksomheder og myndigheder følger de seks trin, og at de altid foretager en risikovurdering samt dokumenterer beslutninger og overvejelser, da denne dokumentation kan bruges som grundlag for implementeringen af sikkerhedsforanstaltninger til beskyttelse af data. 

Vil du i dialog om emnet med os eller tage de nødvendige skridt, er du velkommen til at kontakte os.

Eksempler på supplerende sikkerhedsforanstaltninger fra EDPB’s anbefalinger

Eksempel 1:

En dataeksportør kan styrke sin beføjelse til at foretage revision eller inspektion af importørens databehandlingsfaciliteter på stedet og/eller eksternt for at kontrollere, om data blev videregivet til offentlige myndigheder, og på hvilke betingelser (adgang ikke ud over, hvad der er nødvendigt og forholdsmæssigt i et demokratisk samfund), fx ved at sørge for et kort varsel og mekanismer, der sikrer hurtig indblanding af inspektionsorganer og styrker eksportørens autonomi ved valg af inspektionsorganer.

Eksempel 2:

Kontrakten kan forpligte eksportøren og importøren til at hjælpe den registrerede med at udøve sine rettigheder i tredjelands jurisdiktion gennem ad hoc-klagemekanismer og juridisk rådgivning.

Eksempel 3:

Personoplysninger skal transmitteres med en metode, som garanterer, at dekryptering ikke er mulig uden kendskab til dekrypteringsnøglen (end-to-end-kryptering), i hele den tid data skal være beskyttet.

Eksempel 4:

Personoplysninger skal pseudonymiseres, så personerne ikke længere er identificerbare. De yderligere oplysninger, som altså er nødvendige for at identificere den registrerede, må udelukkende opbevares hos dataeksportøren, i en medlemsstat eller i et tredjeland, som har et tilstrækkeligt beskyttelsesniveau.

Begrebsforklaringer:

Lovgrundlag: Når man bruger (behandler) personoplysninger, skal man have et grundlag i loven. Det gælder også, når man skal overføre (sende) oplysninger til fx USA. Hvis man ikke har et lovgrundlag, kan man ikke behandle oplysningerne.

At overføre: At sende data ud af EU kaldes også for en ”overførsel”. Begrebet dækker over både den situation, hvor en dataansvarlig i EU videregiver personoplysninger til en dataansvarlig uden for EU, og den situation, hvor en dataansvarlig (eller en databehandler) i EU overlader en behandling af personoplysninger til en databehandler uden for EU. Overførsler kaldes i nogle tilfælde også ”tredjelandsoverførsler”.

Tredjeland: Et ”tredjeland” er et land, som ikke er medlem af EU eller EØS. Man sondrer i GDPR mellem sikre og usikre tredjelande. Hvis der er tale om sikre tredjelande, kan der som udgangspunkt overføres oplysninger uden videre, hvorimod en overførsel til et usikkert tredjeland kræver yderligere tiltag, bl.a. at der fastlægges fornødne garantier, eller at nogle særlige undtagelser finder anvendelse.