Er det slut med at sende persondata ud af EU?
Det har altid været lidt besværligt at sende persondata ud af EU (på lovlig vis) – og nu ser det ud til at blive endnu mere besværligt. I nogle tilfælde formentlig umuligt. Privacy Shield er død, og brugen af EU-Kommissionens standardkontrakter begrænses. Det er den nye virkelighed, som alle virksomheder nu må forholde sig til; særligt virksomheder, der anvender ikke-europæiske leverandører, herunder af cloud-ydelser. Det synes at være resultatet af ”Schrems II”-dommen, som EU-Domstolen afsagde den 16. juli 2020.
Hvad er problemet?
Persondata må i udgangspunktet behandles frit i lande inden for EU (samt enkelte forhåndsgodkendte lande uden for EU) – så længe persondatareglerne overholdes, herunder GDPR. Dette skyldes, at reglerne og håndhævelsen deraf – og dermed beskyttelsen af borgerne – er ensrettet og høj inden for EU. Derimod må persondata ikke forlade EU uden et såkaldt overførelsesgrundlag, dvs. ekstra forhold, der skal sikre, at modtagerlandet har en tilsvarende beskyttelse af persondata.
Hvordan håndteres eksport af data ud af EU?
Hidtil har man anvendt to primære overførelsesgrundlag: Privacy Shield-ordningen og EU-Kommissionens standardkontrakter.
Privacy Shield var en aftale mellem EU og USA; en virksomhed i USA kunne tilmelde sig ordningen, og virksomheden blev derved underlagt en række ekstra krav og regler, som skulle sikre samme høje persondatabeskyttelse som i EU. Derefter blev virksomheden anset for at være ”sikker” – også selvom den var etableret i et ikke-sikkert land uden for EU.
EU-Kommissionens standardkontrakter har samme formål som Privacy Shield. De forpligter også modtageren til at sikre samme høje persondatabeskyttelse som i EU. Her er der dog tale om en aftale, som er indgået mellem afsenderen inden for EU og modtageren uden for EU.
Fordelen ved begge ordninger er, at de ikke kræver yderligere myndighedsgodkendelse.
Hvad mener EU-Domstolen?
Det er ikke tilstrækkeligt kun at vurdere modtager-virksomheden. Det er også nødvendigt at vurdere modtager-landets beskyttelsesniveau. En virksomhed kan således have forpligtet sig til den nødvendige beskyttelse. Men hvis forpligtelsen i realiteten ikke kan håndhæves i modtagerlandet, er det ikke tilstrækkeligt. Det samme gælder, hvis modtagerlandets myndigheder kan få adgang til persondata uden en retsproces svarende til en retsproces inden for EU.
Dette krav opfyldte Privacy Shield ikke. Myndighederne i USA havde for bred adgang til persondata uden ordentlig domstolskontrol eller klageadgang for EU-borgere.
Derfor nåede EU-Domstolen frem til, at Privacy Shield ikke var et tilstrækkeligt overførelsesgrundlag. Beskyttelsen af EU-borgerne var ikke reel (nok) i USA.
Hvad så med standardkontrakterne?
EU-Kommissionens standardkontrakter kan fortsat anvendes som overførelsesgrundlag, men man har nu et skærpet fokus på, om modtagerlandet reelt har en tilstrækkelig beskyttelse.
Med andre ord skal der foretages en undersøgelse af modtagerlandets retssystem og persondatabeskyttelse, før standardkontrakterne anvendes. Hvis standardkontrakterne reelt ikke kan håndhæves, kan de ikke anvendes. Det gælder også, hvis myndighederne i modtagerlandet kan få adgang til persondata i et videre omfang, end det anerkendes inden for EU.
Det giver anledning til nogle overvejelser. Kan standardkontrakterne anvendes til at overføre persondata til USA – EU-Domstolen har jo netop underkendt det generelle beskyttelsesniveau? Kan man gennem aftaler hæve beskyttelsesniveauet? Er der lande, som man aldrig vil kunne overføre persondata til, f.eks. Kina, Iran, Rusland og tilsvarende med en retstradition, der er forskellige fra EU?
Standardkontrakterne har overlevet som overførelsesgrundlag, men anvendelsen af dem er dog blevet noget mere besværlig.
Kan jeg ikke bare være ligeglad?
Ansvaret hviler altid på kunden (den dataansvarlige), og standardkontrakten indgås altid med en dataansvarlig som den ene part. Det er derfor kunden, som i første omgang har forpligtelsen. Der er nu en forpligtelse til dels at sikre indholdet af aftalen, dels at kende modtagerlandets beskyttelsesniveau og retssikkerhed. Dette skal dokumenteres og kunne forevises til Datatilsynet.
Leverandøren vil imidlertid ofte være den, der i praksis ender med forpligtelsen. Typisk anvender en kunde en leverandør inden for EU, som har en underleverandør (underdatabehandler) uden for EU. Det sker ofte ved, at leverandøren - efter fuldmagt fra kunden - indgår en standardkontrakt med underleverandøren. Kunden vil derfor forvente, at leverandøren har styr på, om der anvendes de rigtige underleverandører på lovlig vis.
Derfor må vi forvente, at arbejdsbyrden med at sikre lovligheden – nu også ift. selve modtagerlandet – overvæltes på leverandøren.
Dataoverførelser ud af EU er en af de alvorligste bestemmelser i GDPR. Det er derfor også en af dem, der må forventes at blive håndhævet hårdest. Bødeniveauet er det højeste beløb af 4 % af den globale omsætning eller EUR 20 mio.
Det øgede fokus på modtagerlandets beskyttelsesniveau – og det besvær, der følger med - må derfor forventes at betyde, at brugen af leverandører uden for EU vil falde drastisk. Det er ganske enkelt for dyrt og for risikofyldt for både kunden og leverandøren.
Hvad gør jeg nu?
Alle bør handle. Der er ikke nogen officielle myndighedsudmeldinger endnu, men dommen har effekt fra 16. juli 2020 – og der er ikke udmeldt nogen officiel tilpasningsperiode. DAHL anbefaler derfor følgende:
- Generelt bør det overvejes, om persondata kan holdes inden for EU. På den måde undgår man problemer - uanset om man er kunde (dataansvarlig) eller leverandør (databehandler). Bemærk, at blot læseadgang til persondata anses som en overførelse – også selvom persondata er fysisk placeret i EU.
- Anvendes Privacy Shield, bør dette straks erstattes med et andet grundlag, f.eks. standardkontrakterne (hvis de kan anvendes).
- Leverandøren (databehandler) skal nøje overveje underleverandørkæden. Alle underleverandører uden for EU bør genbesøges, og her skal der gennemføres en generel undersøgelse af landets beskyttelsesniveau og retssikkerhed, som skal dokumenteres. Hvis man når frem til, at beskyttelsen er for lav, skal man ophøre med at anvende underleverandøren. Forvent, at kunderne vil kræve dokumentation fra leverandøren.
- Kunden (dataansvarlig) skal overveje, om man vil tillade overførelse af persondata ud af EU. Det kan være et fornuftigt rammevilkår i mange sammenhænge, og i så fald bør kunden sikre sig, at dette sker lovligt, herunder til et land, der er lovligt. Hvis ansvaret forsøges overvæltet til leverandøren, må det forventes at medføre en prisstigning.
Kontakt DAHL
Har du spørgsmål til ”Schrems II”-dommen eller til, hvordan din virksomhed bør håndtere persondata, er du altid velkommen til at kontakte DAHLs eksperter. Vi yder professionel rådgivning på området.