‍Spørgsmål og svar

Et af webinarets væsentligste bidrag til forståelsen af tredjelandsoverførsler er, at der er tale om en ret snæver åbning for brugen af amerikanske cloududbydere uden supplerende foranstaltninger. De fleste af os kommer derfor nok til at kigge i retning af flere tekniske foranstaltninger, og desuden sætte vores lid til, at de leverandører, som vi gerne vil bruge, sikrer, at vi kan instruere dem i, at PII altid bliver i Europa – og ifht. support og brug af underdatabehandlere.

Gik du glip af webinaret? Så download her.

Allan og Henning svarer på spørgsmål fra webinaret:

Kan man anvende de store cloud-udbydere fra USA uden supplerende foranstaltninger?

Det kan ikke udelukkes, men anvendelsesområdet må antages at være relativt snævert, fordi den dataansvarlige skal kunne demonstrere, at de overførte PII, ikke har været myndighederne i tredjelandenes søgelys. Det følger i øvrigt klart af Schrems II-dommen.

Er det tilstrækkeligt for at være compliant, at PII hos de store tredjelands cloud-udbydere lagres inden for EU?

Nej. Man skal bl.a. også kigge på, om der er adgang til data for teknisk service i tredjeland, om der anvendes underdatabehandlere i tredjeland, om der i tredjelandet er lovgivning, som kan pålægge udlevering af PII til tredjeland, og om der er praksis, som viser, at udnyttelse af denne lovgivning faktisk er sket.

Kunne man lave nogle generelle vejledninger om - og vurderinger af - de store cloudservice-providere?

Der skal anlægges en konkret vurdering af omstændighederne ved den påtænkte overførsel, men hvis en branche har fuldstændig sammenlignelige overførsler og anvendelser af en tjeneste, kan det ikke udelukkes, at f.eks. en brancheorganisation kunne lave en god vurdering og stille denne til rådighed for sine medlemmer.

Hvilke af nedenstående initiativer tæller positivt og hvilke tæller negativt i vurderingen af tredjelandet?

At PII forbliver i EU og transparency rapporter om udlevering af PII tæller positivt. Negativt tæller "Gag-order", hemmeligholdelse og manglende gennemsigtighed.

Hvordan kan man fastslå, hvilke PII amerikanske myndigheder vil bruge?

Søg inspiration i kilderne i Annex III i 01/2020. Men primært er det et godt sted at starte med leverandøren, også selvom dennes udsagn ikke alene kan lægges til grund.

Er dataimportørens dokumentation til den dataansvarliges assessment af tredjelandsoverførslen tilstrækkelig til at afgøre, om en tredjelandsoverførsel lovligt kan finde sted?

Nej. Dataimportørens dokumentation må indgå, men skal valideres af andre kilder. Det fremgår, at dokumentationen skal være objektiv verificerbar.

Har det nogen betydning for vurderingen af overførslen, hvis PII i forvejen er tilsigtet og lovligt offentliggjort?

Nej, det har det som udgangspunkt ikke. Det kan dog indgå i vurderingen i forhold til den konkrete interesse for myndighederne i 3. landets og disses interesse i oplysningerne.

Tolkes det som en tredjelandsoverførsel, hvis PII ligger i EU hos en tredjelandsejet cloud-provider?

Hvis PII er bestemt til at forblive i EU, sker der ikke en tredjelandsoverførsel under den dataansvarliges instruktion. Hvis databehandleren skulle vælge at lave en tredjelandsoverførsel (f.eks. efter anmodning fra domstolen i et tredjeland), er der tale om en tredjelandsoverførsel, med databehandleren som dataansvarlig, hvilket skal indgå i den oprindelige dataansvarliges vurdering af, om man har tiltro til databehandlerens evne til at sikre forordningens overholdelse efter artikel 28, stk. 1. For at afgøre om data er bestemt til at blive i EU, skal man bl.a. kigge på databehandlerens adgang til data for teknisk service i tredjeland, anvendelsen af underdatabehandlere i tredjeland, m.v.

Er en potentiel mulig FISA-anmodning nok til, at man ikke kan anvende en amerikansk cloud leverandør?

Nej. Hvis man kan demonstrere at udleveringsanmodninger aldrig har været relevant indenfor netop den type overførsel, man påtænker, kan det indgå i den vurdering af om overførslen kan ske på essentielt samme beskyttelses-niveau som indenfor EU. Det skal dog dokumenteres i overensstemmelse med kravene i 01/2020.

Hvis PII er krypteret, når de lagres og behandles i et datacenter i EU, som er ejet af en cloud-udbyder i et tredjeland, hvordan skal man så behandle krypteringsnøglen?

Krypteringsnøglen skal gemmes indenfor EU af en EU-baseret ejer eller udbyder. Det skal sikres, at PII til stadighed er krypteret under transport, lagring og anden behandling, så cloududbyderen aldrig har adgang til PII i klartekst.

Kan en udstationeret medarbejder i et dansk selskab tilgå PII i det danske selskab fra et tredjeland uden at finde et retligt grundlag herfor i kapitel V?

Ja. Der skal laves en risikovurdering efter artikel 32 og implementeres passende foranstaltninger som f.eks. VPN, opdatering af medarbejderes udstyr og harddiskkryptering, og disse foranstaltninger skal sikre, at oplysninger kan behandles så hele behandlingen lever op til forordningen. (Se eksempel 8 i Datatilsynets nye vejledning om 3. lands overførsler)

Skal man søge tilladelse hos Datatilsynet til at anvende en leverandør i et tredjeland, hvor man ikke kan finde et essentielt ækvivalent beskyttelses-niveau?

Nej. Hvis lovgivningen i tredjelandet ikke sikrer et ækvivalent beskyttelses-niveau, skal der implementeres supplerende foranstaltninger eller laves et assessment, som dokumenterer, at den problematiske lovgivning ikke udnyttes i praksis. Hvis ingen af disse kan opfyldes, må overførslen ikke iværksættes.

Interesseret i at se, hvordan Wired Relations hjælper med tredjelandsoverførsler? Klik her.