Schrems II: Uklarhed stopper udviklingen

18. marts 2021

Jacob Høedt Larsen

Manglende klarhed om retstilstanden for tredjelandsoverførsler har ført til, at mange virksomheder lige nu stopper IT-projekter – eller ligefrem ruller projekter tilbage. Det var én af konklusionerne på et webinar, som Privacyboozt og Wired Relations afholdt fredag den 12. marts 2021.

“Jeg ser helst, at den (red: Den endelige vejledning fra EDPB om supplerende foranstaltninger til overførsel af personoplysninger til tredjeland) kommer så hurtigt som muligt. Det her er blevet lidt en kamp mellem evangelister på den ene side og et helt legitimt forretningsmæssigt behov på den anden side. Det, vi har behov for at vide, er helt konkret. Hvad er reglerne? Hvad må vi? Og hvad må vi ikke?””

Sådan sagde Henning Mortensen, formand for Rådet for Digital Sikkerhed på et webinar i Privacyboozt og Wired Relations fredag i sidste uge. Her diskuterede han, hvor vi står lige nu med advokat Max Gersvang Sørensen fra Gorrissen Federspiel, Ole Kjeldsen, CTO i Microsoft og Lene Gram Skjoldager fra Wired Relations.

Du kan se hele webinaret her, hvor panelet også giver gode råd om, hvad du som GDPR-ansvarlig kan gøre lige nu:

I november sidste år fremlagde EDPB (Det Europæiske Databeskyttelsesråd) deres foreløbige anbefalinger om blandt andet supplerende foranstaltninger ved tredjelandsoverførsler i lyset af EU-domstolens dom i Schrems II-sagen. Anbefalingerne har været  i høring, og vi venter på de endelige anbefalinger.

Læs Henning Mortensens notat om anbefalingerne lige her.

Henning Mortensens udtalelse kom som reaktion på, at Max Gersvang Sørensen sagde, at for hans skyld måtte EDPB godt vente med deres anbefalinger til 2030. Han mener nemlig, at anbefalingerne fra EDPB er for bombastiske og håber i stedet, at Europa-kommissionen snart kommer med deres modelkontrakter.

“Jeg tror ikke, EDPB kommer til at flytte sig så meget, som man gerne vil have. Det kan man blandt andet se af de kommentarer, der er kommet til kommissionens udkast til modelkontrakter, som jeg egentlig synes udgør den balancerede tilgang. Hvis EDPB og EDPS har problemer med den tilgang, så starter vi fra et meget dårligt sted. EU-kommissionen kan udstede bindende retsakter, EDPB kan kun vejlede. Det bedste vil være, hvis vi kan få de nye SCC’er,” sagde han.

Tilmelding: Nýggj innan dátuvernd II

PrivacyBoozt er ein síða, har vit vilja geva íblástur til títt arbeiði við dátuvernd, soleiðis at tú kanst ganga á odda við hesum í stovninum ella fyritøkuni.

Vil gerne have klarhed

Alle i panelet var dog enige om, at de gerne vil have klarhed over retstilstanden omkring tredjelandsoverførsler. 

“Det er væsentligt, at det bliver afklaret, hvad der gælder. Vi vil helst, at de (red: Anbefalingerne) er klare for, hvad man gør for at anvende de services, vi sælger. Men det vigtigste for os er, at man kommer tilbage til det, der var udgangspunktet for GDPR. Nemlig at sikre, at alle os EU-borgeres data bliver beskyttet,” sagde Ole Kjeldsen fra Microsoft.

Et af problemerne med uklarheden er, at mange i praksis har valgt at stille IT-projekter i stå. Det oplever de blandt andet hos Microsoft.

Stopper projekter

“Der er nogen, der giver dem det råd, at de slet ikke må bruge cloudtjenester, hvor der sker overførsler til USA. En stor del af vores kunder får rådgivning fra advokater og andre, som gør dem fuldstændig paralyseret. Det er følelser og storpolitik. Mange har sagt stop, pause.”

Hos Wired Relations oplever Lene Gram Skjoldager også, at kunder – typisk mellemstore og større virksomheder og offentlige myndigheder – sætter projekter på hold, fordi de ikke kan overskue, hvordan de skal gribe det an. Hun har dog også et råd.

“Der tilbage i juli var der virkelig panikstemning. Det gør, at mange går til advokatfirmaer og bruger en masse penge på noget, som ikke rigtigt er afklaret endnu. Mit råd: Først skal man skabe et overblik over systemer og leverandører. Herefter kan man kortlægge, hvor man har overførsler, og man kan gøre sig klart, hvilket overførselsgrundlag, man bruger. Når man så kommer til det med de supplerende foranstaltninger, så ser jeg også gerne, at de snart kommer med anbefalingerne,” siger hun. Indtil anbefalingerne er på plads, lyder hendes opfordring, at man lige venter.

Det kan du gøre lige nu:

Medlemmerne af panelet var nogenlunde enige om, at det vigtigste man kan gøre lige nu er:

  1. Få (eller skab) overblik over dine overførsler. Hvis du har en god fortegnelse, som lever op til Datatilsynets krav, så skulle det være enkelt. Hvis du ikke har overblikket, så er det en god ide at få det hurtigt.
  2. Bliv klar over, hvilket overførselsgrundlag, I benytter i de enkelte overførsler. 
  3. Hvis I benytter Privacy Shield, skal I allerede nu overveje at gøre noget. Det kan dog være vanskeligt. Panelet var til gengæld enige om, at i andre tilfælde vil det være bedst at vente, til der er lidt mere klarhed over retstilstanden.

Book en demo af Wired Relations.

Jacob Høedt Larsen

Head of Communications hos Wired Relations

Du er måske også interesseret i

Webinar: Kend din cookie-lov

Webinar: Kend din cookie-lov

Lever din hjemmeside op til EU’s cookie-regler? Hvis du er i tvivl, bør du bruge en time i selskab med jurist og DPO...

FØ: Nýggj innan dátuvernd

FØ: Nýggj innan dátuvernd

Ert tú nýggj/ur í dátuvernd, so hava vit tvey webinar, sum kunnu geva tær eitt skjótt yvirlit yvir hesi viðurskifti....