Webinar: Datatilsynet om tredjelandsoverførsler i lyset af EDPB

25. juni 2021

Jacob Høedt Larsen

Så kom de! De endelige anbefalinger om supplerende foranstaltninger fra EDPB (Det Europæiske Databeskyttelsesråd). På torsdag taler Henning Mortensen, formand for Rådet for Digital Sikkerhed med IT-sikkerhedsspecialist og cand. jur. i Datatilsynet Allan Frank om de nye anbefalinger.

De to vil bl.a. drøfte hvordan de nye anbefalinger skal fortolkes, hvornår man skal bruge supplerende foranstaltninger og hvad man skal være opmærksom på, når der er problematisk lovgivning.

Se webinaret herunder:

Book en helt gratis demo af Wired Relations lige her.


Spørgsmål og svar

”Et af webinarets væsentligste bidrag til forståelsen af tredjelandsoverførsler er, at der er tale om en ret snæver åbning for brugen af amerikanske cloududbydere uden supplerende foranstaltninger. De fleste af os kommer derfor nok til at kigge i retning af flere tekniske foranstaltninger, og desuden sætte vores lid til at de leverandører, som vi gerne vil bruge, sikrer, at vi kan instruere dem i, at PII altid bliver i Europa – og ifht. support og brug af underdatabehandlere”.

Henning Mortensen

Allan og Henning svarer på spørgsmål fra webinaret

Der kom en del spørgsmål i løbet af webinaret. Her kommer Allans og Hennings svar på de spørgsmål:

Kan man anvende de store cloudubydere fra USA uden supplerende foranstaltninger?

Det kan ikke udelukkes, men anvendelsesområdet må antages at være relativt snævert, fordi den dataansvarlige skal kunne demonstrere, at de overførte PII ikke har været myndighederne i tredjelandenes søgelys. Det følger i øvrigt klart af Schrems II-dommen.

Er det tilstrækkeligt for at være compliant at PII af de store tredjelands cloududbydere lagres indenfor EU?

Nej. Man skal bl.a. også kigge på, om der er adgang til data for teknisk service i tredjeland, om der anvendes underdatabehandlere i tredjeland, om der i tredjelandet er lovgivning, som kan pålægge udlevering af PII til tredjeland, og om der er praksis, som viser, at udnyttelse af denne lovgivning faktisk er sket.

Kunne man lave nogle generelle vejledninger om og vurderinger af, de store cloud service providere?

Der skal anlægges en konkret vurdering af omstændighederne ved den påtænkte overførsel, men hvis en branche har fuldstændig sammenlignelige overførsler og anvendelser af en tjeneste, kan det ikke udelukkes, at f.eks. en brancheorganisation kunne lave en god vurdering og stille denne til rådighed for sine medlemmer.

Når der er “problematisk lovgivning”, hvad skal et assessment af overførslen så indeholde?

Se Annex III i 01/2020

Hvilke af nedenstående initiativer tæller positivt og hvilke tæller negativt i vurderingen af tredjelandet?

At PII forbliver i EU og transparency rapporter om udlevering af PII tæller positivt og negativt tæller “Gag-order”, hemmeligholdelse og manglende gennemsigtighed

Hvordan kan man fastslå hvilke PII amerikanske myndigheder vil bruge?

Søg inspiration i kilderne i Annex III i 01/2020. Men primært er det et godt sted at starte med leverandøren, også selvom dennes udsagn ikke alene kan lægges til grund.

Er data importørens dokumentation til den dataansvarliges assessment af tredjelandsoverførslen tilstrækkeligt til at afgøre om en tredjelandsoverførsel lovligt kan finde sted?

Nej. Dataimportørens dokumentation må indgå, men skal valideres af andre kilder. Det fremgår, at dokumentationen skal være objektivt verificerbar.

Har det nogen betydning for vurderingen af overførslen, hvis PII i forvejen er tilsigtigtet og lovligt offentliggjort?

Nej det har det som udgangspunkt ikke. Det kan dog indgå i vurderingen i forhold til den konkrete interesse for 3. landets myndigheds interesse i oplysningen.

Tolkes det som en tredjelandsoverførsel, hvis PII ligger i EU hos en tredjelandsejet cloudprovider

Hvis PII er bestemt til at forblive i EU, sker der ikke en tredjelandsoverførsel under den dataansvarliges instruktion. Hvis databehandlen så skulle vælge at lave en tredjelandsoverførsel (f.eks. efter anmodning fra en tredjelands domstol), er der tale om en tredjelandsoverførsel, med databehandleren som dataansvarlig, hvilket skal indgå i den oprindelige dataansvarliges vurdering af, om man har tiltro til databehandlerens evne til at sikre forordningens overholdelse efetr artikel 28, stk. 1. For at afgøre om data er bestemt til at blive i EU, skal man bl.a. kigge på databehandlerens adgang til data for teknisk service i tredjeland, anvendelsen af underdatabehandlere i tredjeland, m.v.

Er en potentiel mulig FISA-anmodning nok til, at man ikke kan anvende en amerikansk cloud leverandør?

Nej. Hvis man kan demonstrere at udleveringsanmodninger aldrig har været relevant indenfor netop den type overførsel, man påtænker, kan det indgå i den vurdering af om overførslen kan ske på essentielt samme beskyttelsesniveau som indenfor EU. Det skal dog dokumenteres i overenstemmelse med kravene i 01/2020.

Hvis PII er krypteret, når de lagres og behandles i et datacenter i EU, som er ejet af en cloudubyder i et tredjeland, hvordan skal man så behandle krypteringsnøglen?

Krypteringsnøglen skal gemmes indenfor EU af en EU-baseret ejer eller udbyder. Det skal sikres, at PII til stadighed er krypteret under transport, lagring og anden behandling, så cloududbyderen aldrig har adgang til PII i klartekst.

Kan en udstationeret medarbejder i et dansk selskab tilgå PII i det danske selskab fra et tredjeland uden at finde et retligt grundlag herfor i kapitel V?

Ja. Der skal laves en risikovurdering efter artikel 32 og implementeres passende foranstaltninger som f.eks. VPN, opdatering af medarbejderes udstyr og harddiskkryptering, og disse foranstaltninger skal sikre, at oplysninger kan behandles så hele behandlingen lever op til forordningen. (Se eksempel 8 i Datatilsynets nye vejledning om 3. lands overførsler)

Skal man søge tilladelse hos Datatilsynet til at anvende en leverandør i et tredjeland, hvor man ikke kan finde et essentielt ækvivalent beskyttelsesniveau?

Nej. Hvis lovgivningen i tredjelandet ikke sikrer et ækvivalent beskyttelsesniveau, skal der implementeres supplerende foranstaltninger eller laves et assessment, som dokumenterer, at den problematiske lovgivning ikke udnyttes i praksis. Hvis ingen af disse kan opfyldes, må overførslen ikke iværksættes.

Jacob Høedt Larsen

Partner, Wired Relations

Du er måske også interesseret i