Schrems II-dommen

Schrems II – hvad så nu?

Du har sikkert hørt om Schrems II. Hvad betyder denne dom for overførsler af personoplysninger ud af EU? Hvad skal man nu gøre som dataansvarlig? Hvilke leverandører og tjenester kan bruges fremadrettet? Kan EU’s standardkontraktbestemmelser stadig bruges? Dette er nogle af de spørgsmål, som melder sig på banen hos mange dataansvarlige efter Schrems II-dommen.

Her dykker vi ned i de problemstillinger, som man som dataansvarlig skal være bevidst om, når personoplysninger sendes ud af EU, herunder hvordan man kan håndtere disse problemstillinger vedrørende overførsler til tredjelande ud fra en risikobaseret tilgang til databeskyttelse.

Dommen – kort fortalt

EU-Domstolen traf 16. juli 2020 afgørelse i den meget omtalte Schrems II-sag (C-311/18). Dommen betyder, at organisationer – ud over at sikre et gyldigt overførselsgrundlag – nu skal undersøge, om beskyttelsesniveauet ved overførsler til tredjelande i det væsentligste er lig niveauet i EU. Hvis det ikke er tilfældet, må personoplysninger kun overføres, hvis man med ”supplerende foranstaltninger” kan sikre væsentlig samme beskyttelse som i EU.

Dommen har trukket gulvtæppet væk under mange organisationer og efterladt en myriade af spørgsmål, navnlig hvordan man som organisation sikrer, at personoplysninger beskyttes i de tredjelande, hvor data potentielt kan flyde hen eller tilgås fra. Dette skal især ses i lyset af teknologiske løsninger som cloud computing, som udvisker grænserne for, hvor data opbevares. Også i mere lavpraktiske eksempler, hvor f.eks. en supportfunktion er placeret i et lavindkomstland uden for EU (hvilket kan udgøre en tredjelandsoverførsel), kan afgørelsen medføre en nødvendig omstilling.

Hvis man som dataansvarlig efter Schrems II ikke sikrer et overførselsgrundlag samt et tilstrækkeligt beskyttelsesniveau, vil det være en overtrædelse af GDPR, som vil kunne udløse bøde eller kritik såvel som erstatningskrav fra berørte personer og eventuel dårlig omtale og imagemæssige konsekvenser.

Omvendt er Schrems II-dommen også en oplagt mulighed for organisationer til at få ”ryddet op” i deres datastrømme samt sikre forretningen og interessenter mod trusler og sårbarheder, ligesom dommens konsekvenser kan give organisationer mulighed for at positionere sig selv som førende på såvel sikkerheds- som GDPR-området. Sikkerhed og tillid er konkurrenceparametre, som kun får større og større betydning.

Datatilsynet har desuden offentliggjort, at overførsler til tredjelande er et område, der vil blive ført tilsyn med i 2021, hvilket også viser, at der også fra myndighedernes side er stort fokus på området.

Overførsler til tredjelande kræver beskyttelse på samme niveau som i EU

Helt grundlæggende skal der først og fremmest være et gyldigt overførselsgrundlag, når organisationer (virksomheder, offentlige myndigheder og foreninger) overfører personoplysninger til lande uden for EU (såkaldte ”tredjelande”).

Et overførselsgrundlag kan f.eks. være, at tredjelandet er optaget på Europa-Kommissionens såkaldte ”positivliste” over sikre tredjelande.¹

Et andet og meget hyppigt anvendt overførselsgrundlag er standardkontraktbestemmelserne fra Kommissionen (også kaldet ”Standard Contractual Clauses” eller ”SCC”). SCC er en aftale, som indgås mellem den ”dataeksporterende” organisation inden for EU og den ”dataimporterende” organisation uden for EU. I aftalen garanterer dataimportøren at leve op til det beskyttelsesniveau, der kræves inden for EU.

Det har tidligere været omdiskuteret, om disse overførselsgrundlag i realiteten yder EU-borgere en tilstrækkelig beskyttelse, og denne potentielt manglende beskyttelse var netop anklagen i Schrems II-dommen og baggrunden for EU-Domstolens afgørelse.

Afgørelsen indebar, at Privacy Shield – som tidligere udgjorde det primære grundlag for overførsler af personoplysninger fra EU til USA – blev kendt ugyldigt, fordi Privacy Shield-ordningen ikke i tilstrækkelig grad beskyttede imod amerikanske myndigheders adgang til data fra EU.

Dommen betyder også, at organisationer – eksempelvis ved brug af SCC som overførselsgrundlag – ikke må overføre personoplysninger til tredjelande, der har et lavere beskyttelsesniveau end i EU, medmindre der implementeres såkaldte ”supplerende foranstaltninger”, som sikrer væsentlig samme beskyttelse som i EU.

Hvis en organisation benytter sig af leverandører, som er databehandlere, står organisationen desuden ”på mål” for leverandørernes eventuelle overførsler til tredjelande. Det samme gælder for leverandørernes egne underleverandører (underdatabehandlere), og kravene gælder således gennem hele leverandørkæden. Med andre ord kan en organisation også komme i vanskeligheder, hvis en leverandør overfører personoplysninger til et usikkert tredjeland uden at have truffet de nødvendige foranstaltninger.

Det er også vigtigt at huske på, at eksempelvis fjernadgang til personoplysninger fra et tredjeland i sig selv udgør en overførsel til tredjelandet, uanset om der fra tredjelandet er adgang til f.eks. at redigere, slette, sikkerhedskopiere eller blot tilgå oplysningerne (også kaldet ”kiggeadgang”).

Vejledningen fra EDPB: Hvordan kan man kompensere for manglende beskyttelse?

Som følge af de usikkerheder, der opstod i kølvandet på Schrems II, udgav Det Europæiske Databeskyttelsesråd (”EDPB”) i november et udkast til en vejledning om supplerende foranstaltninger ved overførsler til tredjelande.² Vejledningen er fortsat i høring og forventes færdiggjort på baggrund af høringssvarene i løbet af foråret.

Det grundlæggende i udkastet til vejledningen er:

1. At alle organisationer skal kortlægge, til hvilke tredjelande organisationen samt dens leverandører (og underleverandører) overfører personoplysninger.
2. At alle organisationer skal vurdere, om der i sådanne tredjelande er tilstrækkelig beskyttelse af personoplysninger.

3. Hvis det ikke er tilfældet, skal alle organisationer afgøre, om der kan implementeres supplerende foranstaltninger, der kompenserer for den manglende beskyttelse.

4. Hvis det ikke er tilfældet, må oplysningerne ikke overføres.³

   1. Første skridt er derfor, at alle organisationer på en struktureret og overskuelig måde skal danne sig et overblik over, hvilke lande (særligt udenfor EU) organisationens data flyder til. Det er afgørende at få inddraget alle leverandører, som behandler personoplysninger for organisationen (kaldet ”databehandlere”) samt leverandørernes egne leverandører (kaldet ”underdatabehandlere”). Organisationens lovpligtige fortegnelse over behandlingsaktiviteter (artikel 30-fortegnelser) bør danne grundlag for dette overblik.

   2. Når organisationen derefter vurderer, om der er tilstrækkelig beskyttelse i de pågældende tredjelande, vil man først og fremmest skulle undersøge, om tredjelandene er på Kommissionens ”positivliste” som omtalt ovenfor. På nuværende tidspunkt er Andorra, Argentina, Canada (for så vidt angår kommercielle organisationer), Færøerne, Guernsey, Israel, Isle of Man, Japan, Jersey, New Zealand, Schweiz og Uruguay på listen, mens Sydkorea og UK er ved at blive optaget.⁴

      Hvis et tredjeland ikke er optaget på Kommissionens positivliste, skal organisationen undersøge lovgivning og praksis i tredjelandet for at sikre, at personoplysninger beskyttes effektivt. Kort sagt er dette ikke tilfældet, hvis der i tredjelandet eksisterer lovgivning, der forpligter organisationer til at udlevere personoplysninger til myndighederne, medmindre sådan lovgivning lever op til almindelige EU-principper om transparens, proportionalitet, tilsyn og adgang til domstols- eller myndighedsprøvelse mv.⁵ Hvis myndighederne i tredjelandet eksempelvis har adgang til vidtgående eller ukontrolleret masseovervågning, vil beskyttelsen ikke være tilstrækkelig.

      Et eksempel på et usikkert tredjeland er USA. Som følge af Section 702 i US Foreign Intelligence Surveillance Act (også kaldet “FISA 702”) har USA’s efterretningstjeneste således adgang til at overvåge oplysninger opbevaret af amerikanske tele- og internetudbydere, uanset hvor oplysningerne befinder sig. Loven gælder f.eks. for servere i EU, som drives af cloudleverandører i USA.

   3. Hvis der ikke er tilstrækkelig beskyttelse – som tilfældet f.eks. er i USA, jf. ovenstående – vil overførslen kun være lovlig, hvis det er muligt at implementere supplerende foranstaltninger, som kompenserer for den manglende beskyttelse, og som sikrer personoplysninger imod indgreb.

Supplerende foranstaltninger kan tage mange forskellige former, og EDPB peger i vejledningen på tre forskellige typer af foranstaltninger: kontraktuelle, organisatoriske og tekniske.⁶ Eksempler på supplerende foranstaltninger kunne være:

• En aftale om dataimportørens (databehandleren) advisering af dataeksportøren (den dataansvarlige) ved påbud fra myndighederne (kontraktuel)
• Interne politikker hos dataimportøren om forvaltningen af overførsler (organisatorisk)
• Kryptering eller pseudonymisering af oplysninger (teknisk).⁷

Det gøres klart i vejledningen, at nogle typer af supplerende foranstaltninger vil være effektive i nogle situationer, mens andre typer vil være effektive i andre situationer. Derfor skal organisationen også vurdere effektiviteten af foranstaltningerne i lyset af eksempelvis tredjelandets lovgivning og det anvendte overførselsgrundlag. Ofte vil det af den grund også være nødvendigt at kombinere flere forskellige typer af foranstaltninger for at bringe beskyttelsen på niveau med EU. Det er i den forbindelse centralt, at EDPB fremhæver, at kontraktuelle og organisatoriske foranstaltninger typisk ikke vil være effektive, hvis de ikke suppleres af tekniske foranstaltninger.

Det kan i praksis være vanskeligt at implementere supplerende foranstaltninger. I vejledningen fra EDPB står der blandt andet, at hvis det med en nøgle er muligt at ”låse” krypteret eller pseudonymiserede data op i et usikkert tredjeland (f.eks. hvis man udleverer nøglen til en leverandør i tredjelandet), vil der ikke være tilstrækkelig beskyttelse.⁸ EDPB sondrer ikke mellem, om oplysningerne er krypteret under transmission eller i hvile, og heller ikke en kombination af disse typer kryptering vil være tilstrækkelig, hvis leverandøren gives en krypteringsnøgle.

Ovenstående problemstillinger er især interessante for organisationer, der bruger cloudleverandører (f.eks. Amazon Web Services, Google Cloud eller Microsoft Azure). Det skyldes, at data ”i skyen” potentielt kan tilgås mange steder i verden, og vurderingen af beskyttelsesniveauet og eventuelle supplerende foranstaltninger skal i princippet tages for hvert enkelt tredjeland, som oplysningerne overføres til. Det samme gør sig gældende for organisationer, der benytter supportfunktioner i tredjelande, og hvor beskyttelsesniveauet altså skal sikres i hvert enkelt tredjeland, både i forhold til myndigheders og personers adgang til oplysningerne.

Vejen frem: En ansvarlig og risikobaseret tilgang til databeskyttelse

Det fremgår af EDPB’s udkast til vejledning, at man i valget af passende foranstaltninger kan inddrage blandt andet følgende forhold:

1. Oplysningernes format (overføres oplysningerne i ”ren” tekst eller er de f.eks. pseudonymiserede eller krypterede)
2. Oplysningernes karakter (er der f.eks. tale om almindelige oplysninger, fortrolige oplysninger, særlige kategorier af oplysninger omfattet af GDPR artikel 9 eller oplysninger vedrørende straffedomme og lovovertrædelser omfattet af GDPR artikel 10)
3. Varigheden og kompleksiteten af behandlingen, antallet af involverede parter og forholdet mellem dem (er der f.eks. tale om en kompliceret overførsel med mange parter)
4. Risikoen for, at oplysninger bliver videreoverført (f.eks. inden for samme land eller til andre tredjelande).⁹

Kommissionen har for nyligt udgivet et udkast til nye standardkontraktbestemmelser (”SCC”), som vi afventer vedtagelse af efter endt høring.¹⁰ Det nye SCC-udkast lægger op til, at der i vurderingen af, om et tredjeland har et tilstrækkeligt beskyttelsesniveau, blandt andet kan indgå praktisk erfaring om, hvorvidt myndighederne i tredjelandet tidligere har anmodet om at få data af den overførte type udleveret.¹¹

Dette er interessant, fordi Kommissionens udkast viser, at risikoen for den registrerede bør indgå i vurderingen af, hvilke foranstaltninger der er passende. Dette flugter også med den risikobaserede tilgang i GDPR.

Derfor er det (fortsat) vigtigt, at organisationer tager udgangspunkt i en risikovurdering, når personoplysninger overføres til tredjelande: Jo højere risikoen er for de registrerede ud fra alle relevante faktorer, jo højere krav bør der stilles til de foranstaltninger, der skal implementeres.

Når risikoen skal vurderes, bør man tage udgangspunkt i de faktorer, som EDPB nævner i vejledningen, eksempelvis hvilke typer af personoplysninger der er tale om (herunder om oplysningerne f.eks. fortrolige eller sensitive), i hvilket format oplysningerne overføres og kompleksiteten af overførslen.

Efter man på den baggrund har vurderet den iboende risiko ved at behandle oplysningerne, bør man inddrage alle relevante og reelle trusler og svagheder og eksempelvis holde disse op mod konsekvenserne for de registrerede ved et brud og sandsynligheden for, at et brud opstår.

Når risikoen på den baggrund er fastlagt, bør man vurdere, hvilke supplerende foranstaltninger der er passende til at beskytte oplysningerne.

F.eks. må det antages, at risikoen for de registrerede i nogen grad kan nedbringes, hvis organisationen benytter leverandører, som kan garantere, at der implementeres supplerende foranstaltninger, der gør op for den manglende sikkerhed.

På denne måde vil man kunne nedbringe risikoen, hvis man ved brug af eksempelvis kryptering eller anden maskering sikrer personoplysninger i tredjelande mod uretmæssig adgang.

En ny fransk dom fra Conseil d'État – den øverste administrative domstol i Frankrig – understreger dette ved at fastslå, at man i cloudløsninger kan overkomme amerikanske myndigheders vidtgående overvågningsadgang ved brug af relevante supplerende foranstaltninger, idet Conseil d'État accepterede brugen af Amazons cloudtjeneste AWS som underdatabehandler.

Dette var blandt andet begrundet i de fastlagte supplerende foranstaltninger. Der var indgået en supplerende aftale med AWS om, at udleveringsanmodninger skulle bestrides, og der var af en tredjepart i Frankrig etableret en procedure for kryptering af personoplysninger. Retsstillingen på området må forventes at blive afklaret i nærmeste fremtid, men i tilfælde er det afgørende, at man som organisation får kortlagt sine datastrømme, foretaget risikovurderinger og implementeret eventuelle supplerende sikkerhedsforanstaltninger, der bringer det samlede beskyttelsesniveau på linje med EU og således når i mål med de forpligtelser, der følger af Schrems II-dommen.

Derudover er det også sandsynligt, at den teknologiske udvikling vil kunne få betydning for adgangen til at overføre personoplysninger til tredjelande. F.eks. udvikles der for tiden på en krypteringsform kaldet homomorfisk kryptering, som indebærer, at eksempelvis leverandører kan foretage visse former for behandlingsaktiviteter direkte på krypterede data, uden at leverandøren får adgang til oplysningerne i “ren” tekst.

Uanset velmenende regulering fra myndighedernes side kommer de teknologiske fremskridt i mange henseender til at afgøre mulighederne for i fremtiden at sikre data bedst muligt imod nye trusler på en global markedsplads.