Så kom anbefalingerne – Henning Mortensen gennemgår dem

22. juni 2021

Henning Mortensen

Hvor står vi med tredjelandsoverførsler?

Juni 2021 har bragt os tættere på at forstå den virkelighed, som vores tredjelandsoverførsler af personoplysninger befinder sig i, efter CJEU (EU-domstolen) afsagde dom i Schrems II-sagen i juli 2020. Den 11. juni i år fik vi de nye SCC (Standard Contractual Clauses), som har været ventet siden GDPR blev vedtaget, og den 21. juni offentliggjorde EDPB (Det Europæiske Databeskyttelsesråd) Recommendation 01/2020, som har været i offentlig høring siden november 2020, og som blev vedtaget den 18. juni.

Konklusionen

Nedenfor vil jeg kort komme med nogle betragtninger på de endelige dokumenter, der er nævnt ovenfor. Men forinden en opsummering af konklusionen. I min optik har vi ved overførsler fra dataansvarlige i EU (dataeksportører) til databehandlere uden for EU (data importører) i hvert fald følgende scenarier at se frem til:

1. Situationen uden en tredjelandsoverførsel
Den situation, som vil skabe mindst arbejde (og bøvl og som formodentlig er mest langtidsholdbar) er den, hvor vi som dataansvarlige slet ikke instruerer vores databehandler i en tredjelandsoverførsel: Hvis vi har en databehandler, som har hovedkvarter uden for EU, men som har etableret sig i EU, og som garanterer, at PII (Personally identifiable information – personoplysninger) bliver i datacentre indenfor EU, ikke serviceres af databehandlerens medarbejdere uden for EU, af underdatabehandlere uden for EU, eller på anden måde kan komme udenfor EU (og overførslen i øvrigt ikke er krævet af national ret eller EU retten), så instruerer databehandleren ikke i en tredjelandsoverførsel, og vi skal slet ikke til at overveje et overførselsgrundlag efter kapitel V. Vi kan derfor lave en vurdering efter artikel 28, stk. 1 af om databehandleren kan stille de fornødne garantier for, at forordningen er overholdt. Det er sådan set en risikovurdering af databehandleren, hvor man ser på risici for, at databehandleren bliver hacket, risici for at databehandleren forbryder sig mod artikel 48 (tredjelands domstol påbyder databehandleren at udlevere PII) og overfører PII i modstrid med EU retten og aftalen med den dataansvarlige, og risici for, at databehandleren bliver ramt af ransomware.

2. Situationen med tredjelandsoverførsel efter artikel 45 eller 49
Vi kan som nu overføre personoplysninger til de sikre tredjelande, som EU Kommissionen har godkendt efter artikel 45. Der pågår forhandlinger mellem EU Kommissionen og USA om at etablere et nyt overførselsgrundlag efter Safe Harbour faldt ved Schrems I og Privacy Shield faldt ved Schrems II, og der kommer måske engang et sådant artikel 45-grundlag, men det findes altså ikke i skrivende stund.

Desuden kan vi som nu overføre PII til tredjelande, når en af undtagelsesbestemmelserne i artikel 49 er opfyldt. EDPB præciserer i Recommendation 01/2020, at artikel 49 alene kan bruges i de snævre særlige situationer, der er nævnt i artiklen.

3. Situationen med tredjelandsoverførsler efter artikel 46
Udgangspunktet for tredjelandsoverførslerne i bred forstand er fortsat, som det fremgår af EU’s Charter, GDPR, EDPBs Recommendation 02/2020 og CJEU, at der skal sikres et beskyttelsesniveau, som er essentielt ækvivalent til, hvad der gives i EU, når der overføres PII til tredjelande.

Vi kan overføre PII efter de overførselsgrundlag, der følger af artikel 46, og som omfatter SCC, BCR, ad-hoc-kontrakter, adfærdskodekser og certificeringsmekanismer samt alene for offentlige myndigheder: retligt bindende instrumenter og administrative ordninger. Uanset hvilket overførselsgrundlag der anvendes, skal de essentielle garantier være opfyldt. BCR og ad-hoc-kontrakter skal godkendes af Datatilsynet og adfærdskodekser m.v. findes der ingen af endnu, hvorfor vi nedenfor stort set alene adresserer SCC.

Uanset at man bruger SCC (eller BCR eller ad-hockontrakter), har EDPB fastholdt anbefalingen om, at man gennemgår en seks-trins model for at fastslå, om overførselsgrundlaget er compliant:

De seks trin
– Kortlæg hvilke overførsler der foretages hvortil
– Kortlæg de anvendte overførselsgrundlag
– Fastslå om de valgte overførselsgrundlag er effektive
– Iværksæt supplerende foranstaltninger
– Procedurer som følge af supplerende foranstaltninger
– Evaluering af verførselsgrundlagets effektivitet

Den fremgangsmåde, som blev skitseret i november, bliver altså fastholdt. Der er imidlertid sket nogle præciseringer af indholdet, når det drejer sig om at fastslå, om det valgte overførselsgrundlag er effektivt, jævnfør tredje pind ovenfor:

a. Lovgivningen i tredjelandet, som skal sikre et essentielt ækvivalent beskyttelsesniveau, er compliant, men myndighedernes praksis indikerer klart, at den lovgivningsmæssige beskyttelse ikke efterleves. I dette tilfælde skal der iværksættes supplerende foranstaltninger, forud for dataeksport.

b. Lovgivning i tredjelandet, som skal sikre et essentielt ækvivalent beskyttelsesniveau, er ufuldstændig. Samtidig kan det fastslås, at praksis ikke sikrer en passende beskyttelse. I dette tilfælde skal der iværksættes supplerende foranstaltninger, forud for dataeksport.

c. Der er lovgivning i tredjelandet, som kan være problematisk i forhold til at sikre et essentielt ækvivalent beskyttelsesniveau og som omfatter databehandleren og/eller de PII, som eksporteres. I denne situation er der tre muligheder: Overførslen kan stoppes, der kan implementeres supplerende foranstaltninger, eller der kan laves en mere omfattende analyse med det formål at fastslå, om PII, der er omfattet af netop den dataansvarliges eksport (bl.a. henset til erfaringer for den pågældende branche), kan antages at være genstand for den problematiske lovgivning (se fodnote 12 i SCC og afsnit 44-47 i 01/2020). Dataimportøren kan spille en betydelig rolle i at tilvejebringe denne information. Hvis den mere omfattende analyse viser, at der ikke er grund til at tro, at den problematiske lovgivning vil blive anvendt på netop den konkrete overførsel, kan overførslen finde sted.  Hvis den omfattende analyse derimod giver grund til at tro, at den problematiske lovgivning kan finde anvendelse, skal der implementeres supplerende foranstaltninger, eller overførslen skal ophøre. Det er vigtigt at understrege, at den mere omfattende analyse ikke kan anses for at være en risikovurdering. Der er tale om en juridisk og vel til dels og politisk analyse af forholdene i tredjelandet.

Med den omfattende analyse omtalt ovenfor åbnes der en vej for, at vi med god dokumentation kan komme uden om de supplerende foranstaltninger, hvis vi kan dokumentere, at netop vores overførsel ikke omfattes af problematisk lovgivning. Vi må afvente praksis førend vi kan vurdere, hvor stor rækkevidde denne anbefaling om problematisk lovgivning får for tredjelandsoverførsler. I de situationer, hvor vi ikke kan dokumentere, at vores overførsel ikke kan undgå at blive omfattet af problematisk lovgivning, gælder de supplerende foranstaltninger (bl.a. case 6) som blev fremlagt af EDPB i det oprindelige udkast til Recommendation 01/2020 og som står stort set uændret. Det betyder at vi den situation skal iværksætte især tekniske foranstaltninger, men også har mulighed for at iværksætte kontraktuelle og organisatoriske foranstaltninger.  

Klik på billedet for at forstørre.

Jeg har prøvet at lave en lille tegning af, hvordan jeg ser flowet med kortlægning af tredjelandsoverførsler og vurdering af det retlige grundlag. Som det fremgår ovenstående, er der grundlæggende to veje igennem. I de fleste situationer skal der indarbejdes supplerende foranstaltninger i SCC, men der findes en vej udenom, når det kan demonstreres, at praksis viser, at den problematiske lovgivning ikke finder anvendelse for den konkrete overførsel. Vi må som nævnt afvente praksis, førend vi kan se, hvor bred denne vej er.

Uddybende bemærkninger til Recommendation 01/2020

Når man sammenligner udkastet til Recommendation 01/2020 fra november 2020 med den endelige vedtagne version fra 21. juni 2021 ligger den væsentligste ændring som nævnt ovenfor i trin 3 i EDBPs anbefalede proces-model. EDPB præciserer, at dataeksportøren sammen med dataimportøren skal fastslå, om der er noget i tredjelandets lovgivning eller praksis, som betyder, at overførselsgrundlaget ikke sikrer, at de essentielle garantier er essentielt ækvivalente, når PII overføres til tredjeland. Parterne skal adressere, om myndighederne i tredjeland med eller uden importørens viden kan skaffe sig adgang til PII hos importøren eller andre dele af den værdikæde, som behandler PII – f.eks. internetserviceudbyderne som transporterer PII. Parterne skal scope deres afklaring af dette forhold således, at de bl.a. adresserer den lovgivning, der er relevant for den konkrete overførsel (men ikke bredere end det). 

Ved analysen skal der lægges vægt på bl.a. formålene med overførsel og behandling, typer af aktører (f.eks. offentlig/privat, internetudbydere), der er involveret, sektorerne som forestår overførslen, kategorierne af PII (og deres følsomhed og deraf følgende begrænsning af risiko efter artikel 32 (jf. fodnote 42)), om der sker lagring eller er remote adgang til PII, PIIs format (klartekst, krypteret eller pseudonymiseret) og mulighederne for videre overførsel. 

Der skal ved analysen videre lægges vægt på, om myndighederne i tredjelande ved deres adgang tilsidesætter de essentielle garantier, som er nødvendige og proportionale i et demokratisk samfund (som fastlagt af CJEU i Schrems I, Schrems II, nogle af dommene om logning m.v.). Det kan altså ikke udelukkes, at myndighederne i tredjelande kan få adgang til PII, hvis det sker inden for rimelige rammer (betragtning 35). 

Der bør også lægges vægt på, om myndighedernes adgang til data kan prøves ved en domstol, om importlandet har en generel databeskyttelseslovgivning, om der findes et uafhængigt datatilsyn og om tredjelandet er bundet af internationale instrumenter til at beskytte PII. Analysen bør adressere både lovgivning og myndighedernes praksis. 

På baggrund af ovenstående kan der efter EDPBs opfattelse opstå tre situationer:

a. Lovgivningen i tredjelandet, som skal sikre et essentielt ækvivalent beskyttelsesniveau, er compliant, men myndighedernes praksis indikerer klart, at den lovgivningsmæssige beskyttelse ikke efterleves. I dette tilfælde skal der iværksættes supplerende foranstaltninger, forud for dataeksport.
b. Lovgivning i tredjelandet, som skal sikre et essentielt ækvivalent beskyttelsesniveau, er ufuldstændig. Samtidig kan det fastslås at praksis ikke sikrer en passende beskyttelse. I dette tilfælde skal der iværksættes supplerende foranstaltninger, forud for dataeksport.
c. Der er lovgivning i tredjelandet, som kan være problematisk i forhold til at sikre et essentielt ækvivalent beskyttelsesniveau, og som omfatter databehandleren og/eller de PII, som eksporteres. I denne situation er der tre muligheder: Overførslen kan stoppes, der kan implementeres supplerende foranstaltninger, eller der kan laves en mere omfattende analyse med det formål at fastslå, om PII, der er omfattet af netop den dataansvarliges eksport (bl.a. henset til erfaringer for den pågældende branche), kan antages at være genstand for den problematiske lovgivning (se fodnote 12 i SCC og afsnit 44-47 i 01/2020). Dataimportøren kan spille en betydelig rolle i at tilvejebringe denne information. Hvis den mere omfattende analyse viser, at der ikke er grund til at tro, at den problematiske lovgivning vil blive anvendt på netop den konkrete overførsel, kan overførslen finde sted.  Hvis den omfattende analyse derimod giver grund til at tro, at den problematiske lovgivning kan finde anvendelse, skal der implementeres supplerende foranstaltninger, eller overførslen skal ophøre.

Den omfattende analyse skal være detaljeret og foreligge i en ”rapport”. Den information, som tilvejebringes, skal være relevant, objektiv, troværdig, verificerbar og tilgængelig. Der lægges i høj grad op til, at det er importøren, der skal hjælpe med at tilvejebringe informationen (betragtning 44). Der skal naturligvis lægges vægt på den problematiske lovgivning. Der kan også lægges vægt på erfaringen fra aktører i samme branche. Der kan også lægges vægt på importørens erfaring og importørens erfaring må ikke kunne modsiges/bestrides. Videre kan der lægges vægt på praksis fra domstole, datatilsyn i tredjelandene, andre myndigheder i tredjelandene, nationale officielle rapporter og rapporter fra faglige organisationer og interesseorganisationer.

Eksemplet på side 20-21 omfatter en god beskrivelse af hvad der forventes. 

Uddybende bemærkninger til SCC

De to gamle SCC’er er erstattet af eet dokument, som skal omfatte fire situationer, nemlig overførsel fra:

  • Dataansvarlig til dataansvarlig
  • Dataansvarlig til databehandler
  • Databehandler til databehandler
  • Databehandler til dataansvarlig

De nye SCC’er kan suppleres med ekstra bestemmelser, hvis disse ikke er i modstrid med SCC’erne, Charteret eller GDPR. Videre kan underdatabehandlere tilslutte sig aftalerne. Der er en forpligtelse til at parterne vurderer, om SCC’en generelt giver en effektiv beskyttelse. Videre er der gode muligheder for at tilføje supplerende foranstaltninger, så SCCs effektivitet sikres. Endelig skal de registrerede oplyses om SCC’erne, som således bør supplere de privacy notices, der gives de registrerede i forskellige sammenhænge – fortrinsvis via hjemmesider. 

I SCC kommer den i Recommendation 01/2020 nævnte analyse og omfattende analyse af forholdene i tredjelandet navnlig til udtryk i bestemmelse 14 og den tilknyttede fodnote 12. 

Et par afsluttende politiske betragtninger

Vanen tro kan jeg ikke afholde mig fra at komme med et par politiske betragtninger helt for egen regning.

Ventetiden er forbi. Vi har nu fået de to dokumenter, SCC og Recommendation 01/2020, som vi har ventet på i, hvad der forekommer som en evighed. Recommendation 01/2020 giver os endda en åbning for at overføre PII uden supplerende foranstaltninger. Så er det med at komme i gang.

Vi ved vi står os bedst med at løbe igennem EDPBs seks punkts køreplan. Men når vi kommer til punkt 3, hvor vi skal fastslå om vores overførselsgrundlag er effektivt i alle mulige tredjelande, synes der at ligge en ret stor arbejdsbyrde. Den arbejdsbyrde er ikke blevet mindre med Recommendation 01/2020, som nu lægger op til, at der kan ske overførsler (bl.a. med SCC) til usikre tredjelande med lovgivning, der er problematisk (altså ikke som udgangspunkt giver essentielt ækvivalent beskyttelse), forudsat at dataeksportøren kan dokumentere, at netop den overførsel, man selv foretager, ikke er omfattet af de problematiske regler (og at man dermed i praksis oplever en ækvivalent beskyttelse). Det bliver f.eks. nok vanskeligt at dokumentere, hvis man eksporterer til et land, der opsamler al trafik i kablerne inden trafikken når dataimportøren (jf. betragtning 63 og 64 i C-311/18). Tilsvarende hvis der ikke er mulighed for domstolsprøvelse.

Dataeksportøren kan ganske vidst læne sig op af dataimportøren, som skal hjælpe med at tilvejebringe denne dokumentation, og det har de største dataimportører sikkert tilvejebragt inden udgangen af juni. Men for hver dataimportør ligger der en stor opgave i at vurdere, om vi tør stole på den dokumentation. Vi må afvente praksis førend vi kan vurdere, hvor stor rækkevidde denne anbefaling om dokumentation vedrørende problematisk lovgivning får for tredjelandsoverførsler. Praksis kommer formodentlig forholdsvist hurtig i og med at NOYB allerede har anlagt 101 klagesager over tredjelandsoverførsler ved de forskellige europæiske datatilsyn. Der ligger dog indtil vi bliver mere fortrolig med denne praksis en stor procesrisiko for, at der bliver skønnet forkert. Videre ligger der også en risiko for, at vi først får afklaret praksis gennem en Schrems III, Schrems IV og Schrems V. 

På den lidt længere bane ligger der nok en lagt mere stabil løsning på overførselsproblematikken ved at USA får lavet noget privacy-lovgivning og at der etableres et nye overførselsgrundlag mellem EU Kommissionen og FTC. Alternativt og endnu mere sandsynligt og endnu mere holdbart at de store serviceprovidere indretter sig med og udbyder rent europæiske løsninger, der serviceres fra Europa og anvender underdatabehandlere i Europa, som nogle af dem var ude at love for nyligt.

Det vil jeg glæde mig til vi får!

Henning Mortensen

Henning har igennem mere end 15 år rådgivet og udgivet en række vejledninger og værktøjer til danske virksomheder om it-sikkerhed og persondataret i sin rolle som chefkonsulent i Dansk Industri.

I dag er Henning IT-sikkerhedschef og Chief Privacy Officer ved Brødrene A&O Johansen A/S og sidder derfor på daglig basis og arbejder med forordningen i praksis. Henning er desuden formand for Rådet for Digital Sikkerhed, medlem af Virksomhedsrådet for IT-sikkerhed, Privacy Evangelist for Wired Relations – easy GDPR software og en hyppigt anvendt underviser og foredragsholder.

Henning Mortensen blev tildelt Databeskyttelsesprisen 2018 for sit lange seje træk med at omsætte databeskyttelse til konkret vejledning og gode råd, som er anvendelige for både myndigheder og store og små virksomheder.

Følg Henning Mortensen på Linkedin

Du er måske også interesseret i