Notat om Schrems II

12. november 2020

EDPBs anbefalinger bl.a. om supplerende foranstaltninger til standardkontrakterne ved tredjelandsoverførsler i lyset af Schrems II-dommen

Denne artikel har til formål at gennemgå de trin, som dataeksportører skal igennem, når de eksporterer personoplysninger ud af EU under anvendelse af kommissionens standardkontrakter. Artiklen gennemgår de anbefalinger, som EDPB har opstillet i Recommendation 01/2020 og 02/2020. Anbefalingerne er i offentlig høring, og artiklen vil blive opdateret i takt med, at vi bliver klogere på de konkrete anbefalinger, og at dokumenterne evt. bliver opdateret som følge af høringen.

Kort baggrund

Baggrunden for sagen er, at EU-domstolen i den såkaldte Schrems II-sag igen fastslog, at den beskyttelse, som personoplysninger nyder godt af inden for EU, skal følge oplysningerne, uanset hvor i verden de befinder sig. Det betyder, at de registreredes rettigheder fra Det Europæiske Charter og Databeskyttelsesforordningen også skal følge personoplysninger, når de forlader EU – f.eks. for at blive behandlet i en cloud tjeneste. 

Med baggrund i ovenstående gjorde EU domstolen Privacy Shield som overførselsmekanisme ugyldig. EU domstolen sagde desuden, at EU Kommissionens standardkontrakter kunne anvendes som overførselsgrundlag, men at hvis importlandet ikke kunne give de registrerede rettigheder, som er ækvivalente til, hvad der kan opnås i EU, skal de suppleres med ekstra foranstaltninger. Dermed er standardkontrakterne med Dr. Soloves ord ”in coma on life support”. De nye udtalelser fra EDPB handler om, hvad disse anbefalede foranstaltninger kan bestå i og hvordan den dataansvarlige som eksportør kan fastslå om en påtænkt eksport kan finde et retligt grundlag. Kan der ikke tilvejebringes passende foranstaltninger bør eksporten ophøre – og man kan så f.eks. ikke anvende en given cloud tjeneste.

Schrems II dommen og anbefalingen på EDPB er kulminationen af et årelangt retsopgør, der startede tilbage i 2013. Den historiske baggrund gennemgås til sidst i denne artikel.

EDPBs roadmap

Når man behandler personoplysninger, skal man finde et retligt grundlag for behandlingen i artikel 6 i databeskyttelsesforordningen eller i national ret, hvis særlige omstændigheder gør sig gældende (f.eks. CPR-nummer, jf. Databeskyttelseslovens § 11). Hvis man eksporterer oplysninger, f.eks. ved at bruge en cloudtjeneste, skal man desuden finde hjemmel til selve eksporten af personoplysningerne. Man skal altså have en dobbelt-hjemmel. Det er den dataansvarlige som eksportør, der skal kunne påvise ansvarlighed ved at have gennemløbet nedenstående roadmap for kortlægningen af eksport af personoplysninger. 

EDPB opstiller i Recommendation 2020/1 en procesmodel for vurdering af, om en påtænkt dataeksport (f.eks. brug af en cloudtjeneste) kan finde et retligt grundlag. Modellen har seks trin:

  1. Kortlæg tredjelandsoverførsler
    Alle overførsler af personoplysninger til tredjelande skal kortlægges. Baggrunden er, at for at fastslå om de essentielle garantier, som de registrerede gives i EU, er opfyldt i et tredjeland, så skal man vide, hvilket tredjeland personoplysningerne eksporteres til. Tredjelande er alle lande udenfor EU/EØS.

  2. Kortlæg det retlige grundlag som overførslen baseres på
    Det skal kortlægges hvilken overførselsmekanisme man har tænkt sig at anvende i databeskyttelsesforordningens kapitel 5. Der er flere muligheder:

    EU Kommissionen har efter artikel 45 mulighed for at beslutte (adequacy decision) at visse lande (eller sektorer i disse lande) er såkaldt sikre tredjelande. Denne beslutning tages af Kommissionen efter en nøje analyse. Pt. er landene på denne liste sikre tredjelande. Privacy Shield som blev erklæret ugyldig af EU Domstolen var vedtaget som en artikel 45-beslutning.

    Hvis overførslen ikke sker til et sikkert tredjeland, må man anvende nogle af de mekanismer som følger af artikel 46. Her finder vi EU Kommissionens Standardkontrakter og De Bindende Virksomhedsregler. I praksis er der særlig stor interesse for at overføre personoplysninger til USA eller til datacentre i EU, som drives og supporteres af selskaber etableret i USA. Typisk vil overførsel i denne kontekst, efter at Privacy Shield blev erklæret ugyldig, ske via en af mekanismerne efter artikel 46.

    Ved lejlighedsvise og ikke gentagne overførsler i særlige situationer, kan artikel 49 anvendes som retligt grundlag for overførsel. Artikel 49 skal ses som en undtagelsesbestemmelse og kan f.eks. anvendes i forhold til varer der købes af europæiske borgere i et tredjeland.

  3. Kortlæg lovgivningen i det tredjeland, der skal modtage personoplysningerne
    Dataeksportøren skal kortlægge den lovgivning i tredjelandet, som har betydning for de garantier personoplysningerne er underlagt i EU tillige med lovgivning, der kan have betydning for overførselsmekanismens effektivitet i forhold til at beskytte den registrerede. Grundlæggende skal importlandet kunne efterleve de essentielle garantier som EDPB definerer i Recommendation 2/2020. I særdeleshed skal der lægges vægt på, om der i importlandet findes regulering, er uklar regulering eller ikke offentlig tilgængelig regulering giver mulighed for, at myndigheder kan tilgå personoplysningerne (f.eks. i forbindelse med overvågning). Hvis der ikke findes tilgængelig regulering, skal det vurderes, om der kan identificeres andre objektive faktorer, som kan bruges til at fastlægge, om det retlige grundlag kan anvendes. Der må ikke lægges vægt på statistikker om faktisk udlevering af personoplysninger til myndighederne. Kortlægningen, som danner grundlag for beslutningen af, om eksport kan finde sted eller ej, skal dokumenteres og kunne anvendes, hvis der opstår tvister.

    De essentielle garantier er afledt af Charteret artikel 7 (respekt for privatliv og familieliv), 8 (beskyttelse af personoplysninger), 47 (adgang til effektive retsmidler og til en upartisk domstol) og 52 (rækkevidde og fortolkning af rettigheder og principper). De essentielle garantier skal indgå i evalueringen, men er ikke i sig selv tilstrækkelige. Det er også irrelevant, om de eksporterede data faktisk er blevet tilgået af tredjelandes myndigheder. Det afgørende er om disse myndigheder havde mulighed for det. Artikel 7 og 8 er ikke absolutte, men skal tværtimod underlægges en proportionalitetsvurdering, jf. artikel 52. Det er denne proportionalitetsvurdering, EU domstolen har medvirket til at foretage og præciseret, at hvis der skal ske en afvigelse fra garantierne så skal det ske på baggrund af klare regler med klart og afgrænset formål og ikke gå længere, end hvad der er absolut nødvendigt for at forfølge dette formål, så de registrerede er beskyttet mod et eventuelt misbrug – særligt hvor der sker en automatisk behandling. De fire essentielle garantier omfatter:

        – Behandlingen skal baseres på klare, præcise og gennemsigtig regulering
        – Behandlingen skal være nødvendig og proportional og følge legitime formål
        – Det er nødvendigt at der er en uafhængig myndighed som fører tilsyn med behandlingen (f.eks. i form af masseovervågning) og som har adgang til alle relevante sagsakter og kan vurdere om behandlingen er begrænset til hvad der er strengt nødvendig.
        – Den registrerede skal have adgang til at få prøvet sine rettigheder ved en domstol

    Reguleringen i importlandet skal altså som minimum vurderes efter disse fire garantier. I praksis er det centralt i vurderingen at kortlægge, om der finder masseovervågning sted i importlandet. EU domstolen har lagt stor vægt på Snowden-afsløringerne af USA’s masseovervågning – særligt PRISM og Upstream-programmerne. EU domstolen har således allerede vurderet, at USA ikke lever op til de fire essentielle garantier.

  4. Identificer supplerende foranstaltninger
    Hvis analysen under step 3 viser, at importlandet ikke kan leve op til de fire essentielle garantier ved brug af en artikel 46 mekanisme til eksport, skal mekanismen suppleres med flere foranstaltninger, indtil eksportøren kan garantere et ækvivalent beskyttelsesniveau. Der skal altid foretages en konkret vurdering af hvilke supplerende foranstaltninger, der kan være relevante, alt efter hvilket land man ønsker at eksportere til.

    Det er relevant at notere sig, at EDPB kun peger på artikel 46 mekanismer. Man må derfor lægge til grund, at det ikke er nødvendigt at gøre sig overvejelser om supplerende foranstaltninger ved eksport til sikre tredjelande efter artikel 45 (i hvert fald ikke førend disse evt. er blevet underkendt som sikre af EU domstolen).

    EDPB giver en ikke udtømmende liste af forslag til hvilke supplerende foranstaltninger, som eksportøren kunne bringe i anvendelse. Det er især denne liste, som har været afventet i spænding, da den indikerer, i hvilket omfang cloud computing i praksis er muligt i fremtiden. EDPB peger på tre typer af supplerende foranstaltninger:

    Tekniske foranstaltninger
    De tekniske foranstaltninger skal adressere både personoplysninger in transit (opsnapning fra kabler og netværk) og personoplysninger at rest (opsnappet fra datacentre med eller uden importørens medvirken). EDPB peger på både foranstaltninger, hvor eksport er mulig, og på situationer hvor det må forventes, at eksport ikke er mulig:

    I. Supplerende foranstaltninger, der kan muliggøre eksport:

    a. Kryptering
    Personoplysningerne krypteres inden de forlader eksportøren, og krypteringen er stærk og robust, vurderes at kunne holde i den periode det er relevant at bevare oplysningernes fortrolighed, algoritmerne er implementeret uden fejl, og softwaren vedligeholdes, nøglehåndteringen følger best practise og nøglerne kontrolleres fuldstændigt af eksportøren.

    Hvis importøren kan efterleve de essentielle garantier, men personoplysningerne rejser gennem et usikkert tredjeland, skal krypteringen holder under transporten.

    b. Pseudonymisering
    Personoplysninger pseudonymiseres inden eksport, således at ingen registrerede kan identificeres eller udpeges, den supplerende information som i kombination med de pseudonymiserede oplysninger kan føre til re-identifikation opbevares i EU, den supplerende information beskyttes efter best practise og eksportøren har foretaget en analyse som viser at myndigheder i importlandet ikke kan kombinere de pseudonyme oplysninger med andre data (f.eks. tid, lokation eller tekniske oplysninger om terminalen) med henblik på re-identifikation.

    c. Beskyttet dataimportør
    Hvis dataimportøren specifikt er beskyttet af regulering, der forhindrer myndighedernes aflytning (f.eks. en læge eller en advokat) herunder kompromittering af importørens sikkerhedsforanstaltninger, importøren ikke behandler personoplysningerne i tjenester, som myndighederne kan aflytte (f.eks. en it-serviceprovider), oplysningerne er krypteret i transit, det kun er importøren som kan dekryptere dem, og at nøgleparrene matcher.

    d. Opdelt behandling
    Hvis eksportøren har delt personoplysningerne i flere dele med henblik på at få oplysningerne behandlet i forskellige jurisdisktioner og ingen af importørerne er i stand til, på baggrund af de personoplysninger de modtager, at identificere eller udpege de registrerede. Konkret kan dette lade sig gøre med teknologien secure multiparty computation, hvor en flerhed af databehandlere foretager behandlinger på krypterede data uden selv at kunne bruge data til noget (i betydningen identificere).

    II. Situationer hvor eksport formodentlig IKKE vil være mulig:

    a. Hvis importøren (f.eks. i form af en cloud service) har brug for at behandle personoplysningerne i klar tekst – også selv om de er krypteret in transit og krypteret ved lagring uden anden behandling.

    b. Hvis eksportøren og importøren er forbundet f.eks. i en koncern og importøren er placeret i et usikkert tredjeland er kryptering in transit og at rest ikke tilstrækkeligt, hvis importøren tilgår personoplysningerne i klar tekst.

    Kontraktuelle foranstaltninger
    Generelt kan kontrakter binde parterne på forskellig vis bl.a. til at implementere, overholde og vedligeholde tekniske og organisatoriske supplerende foranstaltninger. Dog kan de kontraktuelle foranstaltninger ikke binde importlandets myndigheder, som ikke er en del af kontrakten og som ofte handler på baggrund af importlandets regulering. De kontraktuelle foranstaltninger kan derfor formodentlig kun virke som supplement til øvrige foranstaltninger. EDPB peger på at supplementet kan være relevant i forhold til følgende situationer:

    – Kontrakten skal binde importøren til bestemte supplerende tekniske foranstaltninger
    – Kontrakten skal binde importøren til at oplyse om myndighedernes eventuelle adgang til eller forsøg på adgang til personoplysninger – herunder oplyse om, efter hvilken lovgivning myndighederne kan få adgang, importørens erfaring med myndighedernes adgang og om importøren er juridisk bundet til at udlevere oplysninger til myndighederne
    – Kontrakten skal binde importøren til ikke med vilje at have indbygget bagdøre m.v.
    – Kontrakten skal binde importøren til at tillade audits og levering af logs
    – Kontrakten skal binde importøren til at oplyse om ændringer af de regler, de er underlagt
    – Kontrakten skal binde importøren til at attestere at de ikke har udleveret oplysninger til myndighederne
    – Kontrakten skal binde importøren til at udfordre krav fra myndighederne om udlevering af personoplysninger
    – Kontrakten skal binde importøren til at oplyse myndighederne om at udlevering af personoplysninger vil være i strid med databeskyttelsesforordningens artikel 46 og samtidig oplyse eksportøren og det datatilsyn som den registrerede hører under
    – Kontrakten skal binde importøren til at indhente samtykke fra den registrerede til at tilgå vedkommendes personoplysninger (f.eks. i supportsager)
    – Kontrakten skal binde importøren til at oplyse den registrerede ved udlevering af personoplysninger til myndighederne
    – Kontrakten skal binde importør og eksportør til at hjælpe den registrerede med at udøve sine rettigheder

    Organisatoriske foranstaltninger
    De organisatoriske foranstaltninger kan bestå af interne politikker og procedurer – herunder f.eks. hvordan eksportøren laver risikovurderinger og håndterer hændelser relateret til importørlandets myndigheders tilgang til personoplysninger. De organisatoriske foranstaltninger skal ses som supplement til de tekniske og kontraktuelle foranstaltninger og kan næppe i sig selv sikre ækvivalente garantier.

    – Politikker for ansvarsfordeling – f.eks. indenfor en koncern
    – Dokumentation af henvendelser fra importlandets myndigheders anmodning om udlevering af personoplysninger
    – Løbende rapportering af myndighedernes henvendelser
    – Minimering af hvilke oplysninger myndighederne kan få udleveret
    – Betimelig inddragelse af DPO og tilsvarende i sager der vedrører overførsel til tredjelande
    – Anvendelse og efterlevelse af standarder og codes of conduct
    – Løbende gennemgang og godkendelse af politikker og procedurer
    – Forpligtelser på importøren til ikke at videregive eller overlade personoplysninger til andre aktører

  5. Skab formel sammenhæng mellem overførselsmekanismen og de identificerede supplerende foranstaltninger
    Tanken er her, at alt efter om der anvendes Kommissionens standardkontrakter, bindende virksomhedsregler eller ad hoc kontrakter, så skal de identificerede supplerende foranstaltninger formelt bindes op på den valgte mekanisme. Man kan forstille sig, at foranstaltningerne er forskellige fra mekanisme til mekanisme.

  6. Løbende evaluering
    Med passende mellemrum skal det evalueres om den valgte overførselsmekanisme evt. med supplerende foranstaltninger fortsat kan udgøre et retligt grund for overførsel af personoplysninger til usikre tredjelande. Der betyder bl.a. at man skal overvåge udviklingen i regelgrundlaget for myndighedernes adgang til personoplysninger og den praktiske anvendelse af overvågningsteknologier i de pågældende tredjelande.

Konklusion

Når man gennemløber EDPBs roadmap tager man stilling til, om der kan foretages en tredjelandsoverførsel på et lovligt retligt grundlag og under hvilke omstændigheder – herunder med supplerende foranstaltninger – en sådan overførsel kan finde sted. Når man frem til, at man ikke kan gennemføre tredjelandsoverførslen på et lovligt retligt grundlag – herunder med de tekniske foranstaltninger, som er nævnt i denne artikel eller tekniske foranstaltninger, som man selv finder skaber en passende ækvivalens – skal overførslen ikke iværksættes eller ophøre.

Historisk baggrund for EDPBs anbefalinger

Tilbage i 2013 stod whistlebloweren Edward Snowden frem med tusindvis af dokumenter, som afslørende en omfattende global masseovervågning foretaget af den amerikanske efterretningstjeneste, NSA. Afsløringerne omfattede bl.a. PRISM-programmet, som tappede data fra store amerikanske it-service providere, FAIRVIEW-programmet, som sikrede adgang til data fra amerikanske teleudbydere, UPSTREAM-programmet, som tappede data fra fiberoptiske kabler, XKEYSCORE-programmet, som blev anvendt til at søge på tværs af de opsamlede data, BOUNDLESS INFORMANT, som analyserede de opsamlede data med kunstig intelligens og visualiserede opsamlingen og BULLRUN-programmet, som blev anvendt til at bryde kryptering.

Afsløringerne skabte debat overalt i verden – herunder hos nogle af USA’s nærmeste allierede. I Europa var der således også en del politisk kritik af de amerikanske tiltag. Debatten var med til – i hvert fald i øjeblikket – at svække tilliden til amerikanske tjenesteudbydere, som behandle personoplysninger om europæere. 

Som en symbolsk reaktion på afsløringerne anlagde den østrigske jura-studerende Max Schrems en klagesag mod Facebook ved det irske datatilsyn med påstand om, at Facebook Ireland overførte hans personoplysninger til Facebook Inc i USA, og at han dermed blev offer for masseovervågning i strid med Den europæiske unions charter om grundlæggende rettigheder, nærmere bestemt artikel 7 og 8, og de persondataretlige regler i form af databeskyttelsesdirektivet 95/46/EU. Det irske datatilsyn afviste sagen fordi det overførselsgrundlag som Facebook på daværende tidspunkt anvendte var Safe Habour baseret på en artikel 45 beslutning (2000/520/EC), som Tilsynet ikke har myndighed til at tilsidesætte. Max Schrems forelagde i stedet sagen ved den irske domstol, som henviste en række spørgsmål til EU domstolen. I 2015 ved dom C-362/14 (Schrems I), blev beslutning 2000/520/EC gjort ugyldig med henvisning til USA’s masseovervågning og den deraf følgende manglende beskyttelse af den registreredes rettigheder, som fastslået i EU’s charter. Facebook og mange andre ændrede herefter overførselsgrundlag til Kommissionens standardkontrakter (en artikel 46 beslutning, 2010/87/EU) og overførslen af personoplysninger til USA fortsatte.

På baggrund af dommen indledtes forhandlinger mellem EU Kommissionen og FTC i USA med henblik på at tilvejebringe et nyt overførselsgrundlag i form af en ny artikel 45 beslutning, som tog højde for EU domstolens afgørelse.

Sideløbende behandlede artikel 29-gruppen (forgængeren for EDPB) EU dommen og formulerede fire essentielle garantier, som burde betænkes i en eventuel ny aftale og artikel 45 beslutning. De fire garantier blev offentliggjort som WP 237, bl.a. gengivet i Betænkning 1565, p.636. Garantierne er grundlæggende de samme som angivet ovenfor og re-vitaliseret i EDPBs Recommendation 2020/2.

EU Kommissionen og FTC lavede en ny aftale om overførsel til USA kaldet Privacy Shield (beslutning 2016/1250, en ny artikel 45-beslutning), hvor man havde taget højde for EU domstolens synspunkter i Schrems I dommen. Debatten i USA havde ført til begrænsninger af masseovervågningen i form af E.O. 12333 om overvågning af søkabler og PPD-28 om målretning af efterretningsaktiviteterne uden dog at eliminere masseovervågning. Og med Privacy Shield blev der indført en ombudsmand, hvortil europæiske borgere kunne klage over behandling af deres personoplysninger i USA. Videre blev der foretaget justering af EU Kommissionens standardkontrakter (beslutning 2016/2297). 

Max Schrems var dog ikke tilfreds med at hans personoplysninger fortsat blev overført til USA. Han anlagde derfor en sag ved det irske datatilsyn, hvor standardkontrakterne blev udfordret som overførselsgrund og igen med baggrund i masseovervågning. Da Privacy Shield blev vedtaget blev klagen udvidet til også at omfatte denne. Belært af proceduren fra den første sag og fordi Privacy Shield var en artikel 45 beslutning som det irske datatilsyn ikke kunne underkende, lagde det irske datatilsyn herefter sag an i 2018 ved den irske domstol mod Facebook og Max Schrems med det formål at den irske domstol kunne foretage en ny præjudiciel forelæggelse for EU Domstolen. Den 16. juli 2020 faldt der så dom i C-311/18 (Schrems II), hvor Privacy Shield ble kendt ugyldig og standard kontrakterne overlevede som overførselsgrundlag, men med krav om at de ikke kan bruges ukritisk men skal ledsages af en vurdering af sikkerheden for Charterets garantier i tredjelandet og evt. ledsages af supplerende foranstaltninger, hvis tredjelandet må anses for at være usikkert. Afgørelsen tog igen udgangspunkt i manglende muligheden for domstolsprøvelse (ombudsmanden var ikke tilstrækkelig uafhængig) og fortsat masseovervågning bl.a. i henhold til FISA, sektion 702. Domstolen har således lavet arbejdet med vurdering af tredjelandet, USA, og vurderet at USA ikke opfylder de essentielle garantier.

Der overføres fortsat personoplysninger fra Facebook Ireland til Facebook Inc. og det retlige grundlag er nu efter sigende skiftet til artikel 49. Videre køres der en retssag mellem Facebook og det irske datatilsyn om hvorvidt Tilsynet kan pålægge Facebook at stoppe overførslen. Max Schrems har ønsket at Schrems II-afgørelsen skulle få praktisk virkning og har derfor gennem organisationen NOYB anlagt 101 sag om overførsler ved alle de forskellige europæiske datatilsyn. Med de nye Recommandations fra EDPB må det antages, at der i det mindste når høringsfristen er udløbet, kan træffes afgørelse i disse sager, og dermed vil foreligge en betydelige mængde af praksis på under hvilke omstændigheder, der kan ske lovlige tredjelandsoverførsler til USA. For de dataansvarlige er det værd at vente, til vi ser, om der sker væsentlige ændringer i Recommandations i løbet af høringsperioden.

Et par afsluttende politiske betragtninger

Jeg kan ikke undlade afslutningsvist at komme med et par politiske betragtninger på problemstillingen. Disse står helt for egen regning (ligesom ovenstående) og skal ikke tages som udtryk for min arbejdsgiver, RfDS, eller andres holdning.

Schrems II dommen invaliderer ikke fremmede landes overvågning. Hvis overvågningen er proportional i forhold til, hvad der kan forventes af et demokratisk samfund, hvor det også er en rettighed at være beskyttet mod kriminalitet, kan man godt eksportere personoplysninger til et sådant land. Problemet med USA er, at overvågningen har karakter af masseovervågning, og dermed ikke er proportional. EU har dermed fundet en balance mellem de forskellige rettigheder individerne gives i Charteret.

Det kan forekomme paradoksalt, at der gøres så meget ud af beskyttelsen af de registreredes rettigheder, som illustreret ved ovenstående forløb og ved de omfattende krav der fremadrettet stilles til den dataansvarlige eksportør, når det samtidig kommer for en dag, at FE tilsyneladende jf. TETs afsløringer har tilladt, at der tappes ind i den danske infrastruktur og opsamles og overføres personoplysninger til den amerikanske efterretningstjeneste. Det skal blive interessant at følge (hvis det nogen sinde bliver offentliggjort) i hvilket omfang, der er blevet overført personoplysninger om danskere, og om det er sket på et lovligt grundlag.

Der er ikke nogen tvivl om, at den Recommendation, der nu er kommet, vil gøre cloud computing betydeligt vanskeligere og i en række situationer umulig, med deraf følgende øgede omkostninger til digitalisering. Der kommer med andre ord en helt konkret pris ved at opretholde de rettigheder, som Charteret giver os som europæiske borgere. 

Hvis der ikke findes flere supplerende foranstaltninger end dem, som EDPB har identificeret, vil vi formodentlig gå nogle år i møde, hvor vi ikke vil være i stand til at beskyttede de registreredes rettigheder efter artikel 32 lige som godt som inden denne Recommandation. Det skyldes, at rigtig mange af de teknologiske sikkerhedsforanstaltninger, som er etableret hos europæiske dataansvarlige, har deres oprindelse i USA (ingen nævnt, ingen glemt, og ingen trademarks krænket), og hvor der sker analyse af og filtrering af data, mails, logs m.v. på servere i USA eller med adgang fra USA med support for øje til servere i europæiske datacentre. Første problem er, at vi udelukkes fra at bruge disse tjenester, så skal vi sadle om og bruge nogle andre tjenester, som måske er dårligere. Andet problem er at mange af de tjenester vi bruger leverer en suite af sikkerhedstiltag der spiller sammen. Hvis vi skal ud og skifte til en flerhed af leverandører stiger den teknologiske kompleksitet betydeligt med øget risiko for (vores organisationer og) de registrerede til følge. For det tredje er det ikke sikkert at den nye forretningssoftware vi skal ud og finde spiller lige så godt sammen med de sikkerhedsprodukter vi bruger i dag. Dette vil yderligere bidrage til at øge kompleksiteten og risikoen. 

Den frygt vi i EU har for masseovervågning fra USA synes også at være til stede i USA i forhold til Kina. Der har i USA i de senere år været en stigende kritik af kinesiske hard- og softwareudbydere (ingen nævnt, ingen glemt) for at indsamle personoplysninger om og profilere amerikanske statsborgere. Videre har vi set Californien etablere lovgivning, som skal beskytte personoplysninger. Måske kunne man forestille ad åre, at amerikansk lovgivning kunne tilnærme sig europæiske lovgivning på dette punkt. Man skal heller ikke glemme, at USA er medlem af OECD og dermed ikke er ubekendt med de fundamentale databeskyttelsesprincipper, som går igen i OECDs guidelines. Måske en from drøm.

Endelig er det bestemt også værd at nævne, at det kunne være en mulighed at cloud udbyderne ændrer forretningsmodel og benytter sig af europæiske udbydere til at tilbyde deres cloudtjenester. På den måde kunne der etableres en europæiske cloud på tværs af EU-landene med de software-tjenester vi kender i dag, og hvor alle bånd til de amerikanske moderskibe er klippet. Det bliver en dyrere cloud end vi kender den i dag, men det bliver helt sikkert ikke lige så dyrt, som hvis vi skal gennemføre ovenstående analyser for alle mulige lande og for alle mulige tjenester og betale bøder hver gang vi vurderer forkert. Måske endnu en from drøm om en løsning.

Links

EDPSs Recommendation 2020/1 om supplerende foranstaltninger

EDPBs Recommendation 2020/2 om essentielle garantier

IAPPs første artikel om EDPS’ recommendations

EU’s Charter om fundamentale rettigheder

Schrems II dommen

IAPPs omfattende artikel-samling om hele forløbet

Dr Solove om Schrems og SCC, ”SCC er i come med lifesupport”

Henning Mortensen

Henning har igennem mere end 15 år rådgivet og udgivet en række vejledninger og værktøjer til danske virksomheder om it-sikkerhed og persondataret i sin rolle som chefkonsulent i Dansk Industri.

I dag er Henning IT-sikkerhedschef og Chief Privacy Officer ved Brødrene A&O Johansen A/S og sidder derfor på daglig basis og arbejder med forordningen i praksis. Henning er desuden formand for Rådet for Digital Sikkerhed, medlem af Virksomhedsrådet for IT-sikkerhed, Privacy Evangelist for Wired Relations – easy GDPR software og en hyppigt anvendt underviser og foredragsholder.

Henning Mortensen blev tildelt Databeskyttelsesprisen 2018 for sit lange seje træk med at omsætte databeskyttelse til konkret vejledning og gode råd, som er anvendelige for både myndigheder og store og små virksomheder.

Følg Henning Mortensen på Linkedin

Du er måske også interesseret i