Nyheder

Er det slut med at sende persondata ud af EU?

Det har altid været lidt besværligt at sende persondata ud af EU (på lovlig vis) – og nu ser det ud til at blive endnu mere besværligt. I nogle tilfælde formentlig umuligt. Privacy Shield er død, og brugen af EU-Kommissionens standardkontrakter begrænses. Det er den nye virkelighed, som alle virksomheder nu må forholde sig til; særligt virksomheder, der anvender ikke-europæiske leverandører, herunder af cloud-ydelser. Det synes at være resultatet af ”Schrems II”-dommen, som EU-Domstolen afsagde den 16. juli 2020.

Hvad er problemet?

Persondata må i udgangspunktet behandles frit i lande inden for EU (samt enkelte forhåndsgodkendte lande uden for EU) – så længe persondatareglerne overholdes, herunder GDPR. Dette skyldes, at reglerne og håndhævelsen deraf – og dermed beskyttelsen af borgerne – er ensrettet og høj inden for EU. Derimod må persondata ikke forlade EU uden et såkaldt overførelsesgrundlag, dvs. ekstra forhold, der skal sikre, at modtagerlandet har en tilsvarende beskyttelse af persondata.

Hvordan håndteres eksport af data ud af EU?

Hidtil har man anvendt to primære overførelsesgrundlag: Privacy Shield-ordningen og EU-Kommissionens standardkontrakter.

Privacy Shield var en aftale mellem EU og USA; en virksomhed i USA kunne tilmelde sig ordningen, og virksomheden blev derved underlagt en række ekstra krav og regler, som skulle sikre samme høje persondatabeskyttelse som i EU. Derefter blev virksomheden anset for at være ”sikker” – også selvom den var etableret i et ikke-sikkert land uden for EU.

EU-Kommissionens standardkontrakter har samme formål som Privacy Shield. De forpligter også modtageren til at sikre samme høje persondatabeskyttelse som i EU. Her er der dog tale om en aftale, som er indgået mellem afsenderen inden for EU og modtageren uden for EU.

Fordelen ved begge ordninger er, at de ikke kræver yderligere myndighedsgodkendelse.

Hvad mener EU-Domstolen?

Det er ikke tilstrækkeligt kun at vurdere modtager-virksomheden. Det er også nødvendigt at vurdere modtager-landets beskyttelsesniveau. En virksomhed kan således have forpligtet sig til den nødvendige beskyttelse. Men hvis forpligtelsen i realiteten ikke kan håndhæves i modtagerlandet, er det ikke tilstrækkeligt. Det samme gælder, hvis modtagerlandets myndigheder kan få adgang til persondata uden en retsproces svarende til en retsproces inden for EU.

Dette krav opfyldte Privacy Shield ikke. Myndighederne i USA havde for bred adgang til persondata uden ordentlig domstolskontrol eller klageadgang for EU-borgere.

Derfor nåede EU-Domstolen frem til, at Privacy Shield ikke var et tilstrækkeligt overførelsesgrundlag. Beskyttelsen af EU-borgerne var ikke reel (nok) i USA.

Hvad så med standardkontrakterne?

EU-Kommissionens standardkontrakter kan fortsat anvendes som overførelsesgrundlag, men man har nu et skærpet fokus på, om modtagerlandet reelt har en tilstrækkelig beskyttelse.

Med andre ord skal der foretages en undersøgelse af modtagerlandets retssystem og persondatabeskyttelse, før standardkontrakterne anvendes. Hvis standardkontrakterne reelt ikke kan håndhæves, kan de ikke anvendes. Det gælder også, hvis myndighederne i modtagerlandet kan få adgang til persondata i et videre omfang, end det anerkendes inden for EU.

Det giver anledning til nogle overvejelser. Kan standardkontrakterne anvendes til at overføre persondata til USA – EU-Domstolen har jo netop underkendt det generelle beskyttelsesniveau? Kan man gennem aftaler hæve beskyttelsesniveauet? Er der lande, som man aldrig vil kunne overføre persondata til, f.eks. Kina, Iran, Rusland og tilsvarende med en retstradition, der er forskellige fra EU?

Standardkontrakterne har overlevet som overførelsesgrundlag, men anvendelsen af dem er dog blevet noget mere besværlig.

Kan jeg ikke bare være ligeglad?

Ansvaret hviler altid på kunden (den dataansvarlige), og standardkontrakten indgås altid med en dataansvarlig som den ene part. Det er derfor kunden, som i første omgang har forpligtelsen. Der er nu en forpligtelse til dels at sikre indholdet af aftalen, dels at kende modtagerlandets beskyttelsesniveau og retssikkerhed. Dette skal dokumenteres og kunne forevises til Datatilsynet.

Leverandøren vil imidlertid ofte være den, der i praksis ender med forpligtelsen. Typisk anvender en kunde en leverandør inden for EU, som har en underleverandør (underdatabehandler) uden for EU. Det sker ofte ved, at leverandøren - efter fuldmagt fra kunden - indgår en standardkontrakt med underleverandøren. Kunden vil derfor forvente, at leverandøren har styr på, om der anvendes de rigtige underleverandører på lovlig vis.

Derfor må vi forvente, at arbejdsbyrden med at sikre lovligheden – nu også ift. selve modtagerlandet – overvæltes på leverandøren.

Dataoverførelser ud af EU er en af de alvorligste bestemmelser i GDPR. Det er derfor også en af dem, der må forventes at blive håndhævet hårdest. Bødeniveauet er det højeste beløb af 4 % af den globale omsætning eller EUR 20 mio.

Det øgede fokus på modtagerlandets beskyttelsesniveau – og det besvær, der følger med - må derfor forventes at betyde, at brugen af leverandører uden for EU vil falde drastisk. Det er ganske enkelt for dyrt og for risikofyldt for både kunden og leverandøren.

Hvad gør jeg nu?

Alle bør handle. Der er ikke nogen officielle myndighedsudmeldinger endnu, men dommen har effekt fra 16. juli 2020 – og der er ikke udmeldt nogen officiel tilpasningsperiode. DAHL anbefaler derfor følgende:

  • Generelt bør det overvejes, om persondata kan holdes inden for EU. På den måde undgår man problemer - uanset om man er kunde (dataansvarlig) eller leverandør (databehandler). Bemærk, at blot læseadgang til persondata anses som en overførelse – også selvom persondata er fysisk placeret i EU.
  • Anvendes Privacy Shield, bør dette straks erstattes med et andet grundlag, f.eks. standardkontrakterne (hvis de kan anvendes).
  • Leverandøren (databehandler) skal nøje overveje underleverandørkæden. Alle underleverandører uden for EU bør genbesøges, og her skal der gennemføres en generel undersøgelse af landets beskyttelsesniveau og retssikkerhed, som skal dokumenteres. Hvis man når frem til, at beskyttelsen er for lav, skal man ophøre med at anvende underleverandøren. Forvent, at kunderne vil kræve dokumentation fra leverandøren.
  • Kunden (dataansvarlig) skal overveje, om man vil tillade overførelse af persondata ud af EU. Det kan være et fornuftigt rammevilkår i mange sammenhænge, og i så fald bør kunden sikre sig, at dette sker lovligt, herunder til et land, der er lovligt. Hvis ansvaret forsøges overvæltet til leverandøren, må det forventes at medføre en prisstigning.

Kontakt DAHL

Har du spørgsmål til ”Schrems II”-dommen eller til, hvordan din virksomhed bør håndtere persondata, er du altid velkommen til at kontakte DAHLs eksperter. Vi yder professionel rådgivning på området.

Tilmeld dig nyhedsbrevet DAHL Nyt

Modtag vores nyhedsbrev og bliv opdateret på juridiske emner og nye kurser.

Læs betingelser

Vilkår for modtagelse af nyhedsbrev 

Hvem udsender nyhedsbrevet?

Nyhedsbrevet er en service, der udbydes af DAHL Advokatfirma. Vores fulde kontaktoplysninger er:

DAHL Advokatpartnerselskab
Lundborgvej 18
8800 Viborg
CVR. nr.: 37 31 00 85

Hvilke oplysninger indsamles om mig?

DAHL Advokatfirma indsamler alene din oplyste e-mailadresse og dit navn – dette er alt, vi behøver for at kunne sende dig nyhedsbreve.

Vores it-system indsamler i anonymiseret form oplysninger om dit brug af nyhedsbrevet – herunder om vores nyhedsbrev bliver åbnet, hvor lang tid mailen er åben, om der klikkes på links samt hvornår e-mailen slettes igen.

Du skal herudover være opmærksom på, at hvis du klikker på links i nyhedsbrevet til vores hjemmeside, kan vi indsamle yderligere oplysninger om dig, hvis du accepterer at vores hjemmeside bruger cookies.

Hvad bruger vi dine oplysninger til?

Når du tilmelder dig vores nyhedsbrev, bruger vi din e-mailadresse til at udsende nyhedsbreve, tilbud og andet markedsføringsmateriale til dig. Vi kan endvidere bruge din e-mailadresse til at udsende orienterende e-mails omkring DAHL Advokatfirma eller vores nyhedsbrev.

Herudover anvender vi ikke din e-mailadresse og dit navn.

Vores brug sker alene på grundlag af dit samtykke, jf. Databeskyttelsesforordningen art. 6(1)(a).

De oplysninger vi indsamler om din brug af nyhedsbrevet bruger vi til at forbedre vores service, så vi i fremtiden kan blive endnu bedre til at målrette og tilpasse indholdet efter dine interesser.

Oplysninger om din brug af nyhedsbrevet bruger vi herudover til statistiske formål i anonymiseret form.

Dine oplysninger behandles fortroligt og sikkert

Vi opbevarer dine oplysninger fortroligt og sikkert. Vi har implementeret de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at dine oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med persondatalovgivningen.

Vi bruger en underleverandør til vores drift af IT. Vi har sikret, at vores IT-udbyder er underlagt samme forpligtelse, og at de alene handler på vores instruks.

Hvor ofte udsendes nyhedsbreve?

Vi udsender vores nyhedsbrev, når vi mener, at vi har noget vigtigt eller nyt at fortælle dig. Nyhedsbrevet udkommer ikke med faste intervaller, og det er derfor forskelligt, hvor ofte du kan forvente at modtage nyhedsbreve fra os. Vi bestræber os dog på at begrænse antallet, så vores nyhedsbreve ikke fylder hele din indbakke.

Vi videregiver ikke dine oplysninger

Vi videregiver ikke dine oplysninger til andre i kommerciel henseende. Vi videregiver kun oplysninger, hvis vi er forpligtet til det efter loven, eller hvis vi forpligtet til det efter en retskendelse.

Du kan altid rette eller ændre dine kontaktoplysninger

Du kan til enhver tid ændre eller rette i dine kontaktoplysninger (din e-mailadresse og navn) ved at afmelde dig nyhedsbrevet, og derefter tilmelde dig igen eller ved at sende en e-mail til tvc@dahllaw.dk

Det er beskrevet nedenfor, hvordan du framelder dig vores nyhedsbrev.

Du kan altid afmelde dig yderligere henvendelser

Du kan til enhver tid trække dit samtykke tilbage og framelde dig nyhedsbrevet. Når du har frameldt dig nyhedsbrevet, modtager du ikke yderligere fra os, medmindre du har givet andet samtykke til, at vi må henvende os til dig. Vi sender dig dog en bekræftelse på, at vi sletter dig fra modtagerlisten for vores nyhedsbrev, og vi sletter derefter din e-mailadresse og dit navn i vores modtagerliste af nyhedsbrevet.

Nyhedsbrevet kan afmeldes ved at klikke på ”afmeld nyhedsbrev” linket, som er indeholdt i hvert nyhedsbrev, du modtager fra os. Du kan også afmelde nyhedsbrevet ved at sende en e-mail til tvc@dahllaw.dk, hvori du oplyser navn og e-mailadresse.   

Hvor længe opbevarer I oplysningerne om mig?

Vi opbevarer og behandler din e-mailadresse og dit navn lige så længe, som du er tilmeldt vores nyhedsbrev. Hvis du afmelder dig fra nyhedsbrevet, sletter vi din e-mailadresse og dit navn.

Hvis du framelder dig vores nyhedsbrev, anonymiseres alle statistiske data om din brug af nyhedsbrevet. Anonymiseringen sker på en sådan måde, at det ikke efterfølgende er muligt at deanonymisere oplysningerne igen.

Dine øvrige rettigheder efter persondatalovgivningen

Efter persondatalovgivningen kan du anmode os om indsigt i, hvilke oplysninger vi behandler om dig.

Hvis du er uenig, i den måde vi behandler oplysninger om dig på, kan du klage til Datatilsynet.

Du modtager nu DAHL Nyt

Forretningsområder du ønsker info om:

  • Intet valgt

Din information

Accepter betingelserne