Databeskyttelse i 2021 – et kig i krystalkuglen
Skrevet af
Når vi i Bird & Bird kigger tilbage på året, der gik, og ind i den persondataretlige krystalkugle, spår vi, at 2021 kommer til at stå i tredjelandets tegn!
Brexit
Storbritannien (”UK”) forlod EU den 31. januar 2020. Overgangsperioden udløb ved udgangen af 2020.
EU og UK nåede lige på falderebet til enighed om en handelsaftale, hvormed der ikke bliver tale om et ”Hard Brexit”. Selvom UK er blevet et tredjeland, indeholder aftalen en forlænget overgangsperiode på 6 måneder, for overførsler af personoplysninger, hvilket betyder at datastrømme til UK kan fortsætte som hidtil, forudsat at UK ikke ændrer sin nuværende lovgivning på området. I mellemtiden arbejder UK på at blive anerkendt som et sikkert tredjeland via en såkaldt ”tilstrækkelighedsafgørelse”.
Såfremt EU-Kommissionen træffer afgørelse om, at UK ikke kan anerkendes som sikkert tredjeland inden overgangsperioden slutter, vil enhver overførsel af personoplysninger til UK fra EU kræve et andet overførselsgrundlag. Se også vores særskilte nyhed herom.
Schrems II
I juli 2020 afsagde EU-domstolen dom i Schrems II-sagen. En afgørelse, der på mange måder har skabt røre i GDPR-andedammen.
Schrems II-sagen er skelsættende, fordi den ændrer hidtidig praksis for, hvordan man lovligt kan overføre personoplysninger til usikre tredjelande, herunder særligt USA.
EU-domstolen erklærerede for det første, at Privacy Shield-ordningen var ugyldig som overførselsgrundlag til USA, fordi ordningen ikke sikrede et tilstrækkelig højt beskyttelsesniveau.
For det andet fastslog EU-domstolen, at hvis man benytter EU-Kommissionens standardkontraktbestemmelser (”SCCs”) som overførselsgrundlag, så kan det være nødvendigt at implementere supplerende foranstaltninger (i tillæg hertil), for at lovliggøre overførslen til tredjelandet – og at behovet herfor, skal vurderes konkret for hver enkelt overførsel. Reelt rækker afgørelsen udover SCCs og dækker også overførsler ved brug af Binding Corporate Rules (”BCR”).
Der har siden dommens afsigelse hersket usikkerhed om, hvordan ”supplerende foranstaltninger” skal fortolkes, og hvordan det i praksis overhovedet skal/kan håndteres.
EDPB’s anbefalinger
Den 10. november 2020 offentliggjorde Det Europæiske Databeskyttelsesråd (”EDPB”) en høringsversion af sine – længe ventede - anbefalinger til 3. landsoverførsler, med tilhørende forslag til supplerende foranstaltninger, der kan lovliggøre overførsel af personoplysninger til usikre tredjelande. Høringsfristen udløb den 21. december 2020, og Bird & Bird har en forventning om, at den endelige version af anbefalingerne offentliggøres primo 2021.
Det er værd at bemærke, at EDPB’s anbefalinger ikke er ”hard law”, hvilket betyder, at de ikke har samme retskildemæssige værdi som f.eks. en lov. De repræsenterer dog en fortolkning af reglerne, som understøttes af de tilsynsførende databeskyttelsesmyndigheder i alle medlemslande, og udgør dermed et vigtigt fortolkningsbidrag.
Databeskyttelsesforordningen samt udkastet til nye SCCs (se afsnit nedenfor) bygger på en risikobaseret tilgang, hvilket er et grundlæggende princip inden for databeskyttelsesretten. Høringsversionen af anbefalingerne har derimod et objektivt udgangspunkt, dvs. at der ikke gives plads til at medtage subjektive vurderinger af risici for de registrerede af en given overførsel. Konkret betyder det, at selv i de tilfælde, hvor risikoen ved at overføre personoplysningerne er lav, eksempelvis fordi oplysningerne ingen efterretningsmæssig relevans har, så vil oplysningerne ikke kunne overføres, hvis oplysningerne er underlagt eksempelvis et krav om udlevering og der ikke kan implementeres effektive supplerende foranstaltninger.
Der er kommet mange høringssvar og det bliver spændende at se, om EDPB bløder op i de endelige anbefalinger.
Anbefalingerne indeholder et ”roadmap”, som består af 6 trin. Dataeksportøren (eksportør af data ud af EU/EØS) skal først igennem trin 1-3, for at afgøre om der er behov for supplerende foranstaltninger. Trin 1 handler om at kortlægge sin overførsler, for at skabe overblik over, hvilke data, der overføres og hvortil. Når dataoverførslerne er kortlagt, skal man i trin 2 identificere de(t) relevante overførselsgrundlag i databeskyttelsesforordningens kapitel V. Som trin 3, skal dataeksportøren vurdere lovgivningen i tredjelandet og om den forhindrer overførselsmekanismens effektivitet.
En overførselsmekanisme i Databeskyttelsesforordningens artikel 46 skal således være effektiv. Ifølge EU-domstolen vil det ikke være tilfældet, hvis lovgivning eller retspraksis i tredjelandet/importlandet giver myndighederne mulighed for at tilgå personoplysningerne, f.eks. i forbindelse med (masse)overvågning, og hvor sådanne beføjelser ikke er begrænset til, hvad der er nødvendigt og forholdsmæssigt i et demokratisk samfund, eller hvor der ikke er adgang til effektive retsmidler for de berørte registrerede jf. artikel 47 og 52 i EU-charteret om grundlæggende rettigheder.
Viser det sig, at tredjelandets lokale lovgivning ikke forhindrer effektiviteten af overførselsmekanismen, behøver dataeksportøren ikke at implementere supplerende foranstaltninger.
Viser det sig derimod, at tredjelandets lokale lovgivning forhindrer effektiviteten af overførselsmekanismen (som f.eks. FISA 702 i USA), skal dataeksportøren implementere supplerende foranstaltninger – og derfor gå videre til trin 4-6, som vedrører identifikation og implementering af nødvendige supplerede foranstaltninger.
Supplerende foranstaltninger kan, ifølge EDPB, være enten tekniske, kontraktuelle eller organisatoriske - og en kombination heraf, hvis de forstærker hinanden. I praksis vil de tekniske foranstaltninger ifølge EDPB dog være nødvendige, eftersom hverken en kontrakt eller organisatoriske foranstaltninger hjælper meget, hvis en myndighed ønsker adgang til oplysningerne.
Anbefalingerne opstiller en række eksempler på forskellige supplerende foranstaltninger samt forskellige overførselsscenarier som fortolkningsbidrag til, hvordan anbefalingerne skal forstås.
EDPB fremhæver – ikke overraskende - at fjernadgang til personoplysninger fra et tredjeland i sig selv anses som en overførsel (f.eks. fjernsupport og/eller cloud baseret hosting). Medmindre det i kontrakten med en cloud-leverandør fremgår, at der ikke sker overførsel til tredjelande, skal kunder der benytter en international cloud infrastruktur vurdere, om data overføres til tredjelande og i givet fald til hvilke.
EDPB mener desuden, at såfremt personoplysninger skal kunne tilgås i ren tekst i tredjelandet, så kan EDPB ikke identificere effektive supplerende foranstaltninger.
Yderligere fremhæver EDPB, at såfremt dataimportøren (f.eks. en cloud-udbyder) er i besiddelse af krypteringsnøglen(r), udgør kryptering ikke en foranstaltning, der sikrer et i det væsentlige ensartet beskyttelsesniveau i lande, hvor offentlige myndigheders adgang til personoplysninger også kan omfatte udlevering af sådanne krypteringsnøgler (hvilket er tilfældet under f.eks. FISA 702 i USA).
Anbefalingernes (mulige) konsekvenser for brugen af cloud-løsninger
Anbefalingerne vil i deres nuværende form ikke kun begrænse overførsler af f.eks. kunde- og personaleoplysninger i internationale virksomheder, men også ramme de fleste public-cloud løsninger, idet cloud-udbyderne typisk ligger inde med krypteringsnøglen for at kunne yde support og vedligeholdelse.
Hvis EDPB fastholder sin objektive tilgang i den endelige version af anbefalingerne, vil det derfor give alvorlige udfordringer for tredjelandsoverførsler – særligt i de mange tilfælde, hvor dataimportøren har behov for at behandle personoplysningerne i klartekst. En afledt konsekvens kan blive, at udviklingen i 2021 bevæger sig i retning af en ”European-cloud”, som der allerede arbejdes på fra EU-kommissionens side.
Det bliver også spændende at se, om de store internationale cloud-udbydere faktisk er indstillet på at danse efter den europæiske pibe (et tilbagevendende tema), med betydelige omkostninger til EU-baserede datacentre og supportmedarbejdere til følge – og om vi i Europa kan undvære dem, hvis de ikke er.
Med afsæt i Schrems II-sagen og EDPB’s anbefalinger – når den endelige version foreligger – bør alle dataeksportører nærstudere deres cloud-aftaler, det tilhørende tekniske set-up samt gennemgå deres tredjelandsoverførsler, med henblik på at få kortlagt datastrømme, de nuværende overførselsgrundlag og vurdere behovet for eventuelle supplerende foranstaltninger. Som en del af gennemgangen skal dataeksportøren også tage højde for de nye SCCs (se afsnit nedenfor).
Hertil kommer, at langt størstedelen af alle dataimportører (cloud-leverandørerne) kan blive nødt til at genoverveje deres tekniske set-up, hvis de fortsat ønsker at kunne betjene europæiske kunder på lovlig vis. I skrivende stund har Microsoft givet deres foreløbige bud på håndteringen af EDPB’s anbefalinger, mens de øvrige store cloud-udbydere har indtaget en mere afventende holdning.
Nye Standard Kontraktklausuler (SCCs)
Den 12. november 2020 offentliggjorde EU-Kommissionen et høringsudkast til nye og opdaterede SCCs. Høringsfristen udløb den 10. december 2020. Bird & Bird har en forventning om, at de nye og endelige SCCs offentliggøres primo 2021.
Udkastet har, som nævnt ovenfor, en risikobaserede tilgang, hvormed Kommissionen går imod EDPB’s objektive anbefalinger, som blev offentliggjort to dage før. Det bliver interessant at se, hvordan de endelige versioner af EDPBs anbefalingerne hhv. SCCs løser dette. Derudover indeholder udkastet to nye overførselsscenarier, som ikke er omfattet af de nugældende SCCs og som har været efterspurgt i årevis
De opdaterede SCCs kan benyttes som overførselsgrundlag i følgende 4 situationer:
- Dataansvarlig til dataansvarlig
- Dataansvarlig til databehandler
- (Ny) Databehandler til (under)databehandler
- (Ny) Databehandler til dataansvarlig
Udkastet rummer en 12 måneders overgangsperiode, hvorefter alle virksomheder skal være overgået til de nye SCCs. Perioden vil løbe fra endelig vedtagelse af de nye SCCs.
Både dataansvarlige og databehandlere vil på baggrund heraf skulle gennemgå samtlige tredjelandsoverførsler i løbet af 2021, og sørge for at opdatere overførselsgrundlaget i de tilfælde, hvor det er baseret på de nugældende SCCs.
Vi følger udviklingen nøje i 2021. Det bliver med garanti et spændende år, hvis man er GDPR-nørd som os.
Hvis du har spørgsmål til tredjelandsoverførsler eller andre GDPR-relaterede spørgsmål, er du velkommen til at kontakte én af vores GDPR-eksperter.
Hvis du løbende vil modtage opdateringer om databeskyttelse, kan du også tilmelde dig vores internationale nyhedsbrev Privacy & Data Protection newsletter.
