Nyheder

En nyhed fra Danske Advokaters fagudvalg for Databeskyttelse.

Af Birgitte Toxværd, Horten og Michael Hopp, Plesner

EU-Domstolens Schrems II-dom i juli 2020 medførte stor usikkerhed om lovligheden af cloudtjenester, der overfører personoplysninger til tredjelande. Senere er der også opstået spørgsmål vedrørende brugen af cloudtjenester udbudt af selskaber etableret i EU, men ultimativt ejet af moderselskaber i USA såsom Amazon og Microsoft.

Det Europæiske Databeskyttelsesråd henholdsvis Datatilsynet har siden Schrems II-dommen udgivet vejledninger om overførsler til tredjelande. Datatilsynets nye vejledning om cloudtjenester berører både de grundlæggende krav i databeskyttelsesforordningen, overførsler til tredjelande og brug af cloudtjenester, der er ejet af EU-baserede virksomheder med moderselskaber i tredjelande.

Vejledningen giver indledningsvis et overblik over, hvad cloudtjenester er for en størrelse og uddyber, hvordan de forskellige service- og leverancemodeller adskiller sig fra hinanden på indhold, ansvarsfordeling, sikkerhedsprofiler og teknisk kompleksitet.

Vejledningen minder om, at den dataansvarlige skal have et fuldt overblik over alle de forskellige aktører i "databehandlingskæden", når en databehandler antages, helt fra den virksomhed, der opbevarer oplysningerne til de virksomheder, der yder support og andre databehandlingsydelser mv. Dette er særlig relevant ved brug af de store cloudleverandører, hvor leverandørkæden ofte bliver kompleks og forgrenet.  

Tredjelandsoverførsler generelt

En stor del af vejledningen omhandler kravene til overførsel af personoplysninger til cloudleverandører, der behandler personoplysninger i tredjelande som fx USA.

Overførselsgrundlag

Et af kravene er et særskilt retligt grundlag for overførslen til tredjelandet. EU-Kommissionens standardkontrakt for overførsler til tredjelande anvendes typisk som overførselsgrundlag af de største cloudleverandører. Cloudleverandøren vil ofte selv have indgået standardkontrakten med underdatabehandlere i tredjelande. Den dataansvarlige er dog fortsat ansvarlig efter ansvarlighedsprincippet for, at der faktisk er etableret et retligt overførselsgrundlag.

Vurdering af tredjelandets lovgivning og praksis

Når overførselsgrundlaget er identificeret, skal det vurderes, om der er lovgivning og/eller praksis i tredjelandet, der påvirker effektiviteten af overførselsgrundlaget – såkaldt "problematisk lovgivning/praksis".

Lovgivning og/eller praksis er problematisk, når i) der sker indsamling af eller adgang til de overførte oplysninger for retshåndhævende myndigheder på en måde, der ikke opfylder europæiske grundlæggende rettigheder, og ii) det ikke via objektiv, troværdig og tilgængelig information samt oplysninger fra leverandøren kan afvises som usandsynligt, at den problematiske lovgivning og praksis er relevant for den påtænkte overførsel.

Information fra leverandøren vil ikke kunne stå alene, men kan bl.a. dække over, at leverandøren ikke tidligere har modtaget anmodninger fra tredjelandets retshåndhævende myndigheder, eller at anmodningerne under alle omstændigheder ikke har omfattet de typer af oplysninger, der påtænkes overført. Information fra en leverandør kan dog kun tillægges betydning, hvis det samtidig kan dokumenteres, at leverandøren er berettiget til at afgive fyldestgørende oplysninger efter den lokale lovgivning i tredjelandet. De lokale retshåndhævende myndigheder må altså ikke have hjemmel til fx at udstede såkaldte "gag orders". Hvis leverandøren kan pålægges et forbud mod at oplyse om eksistensen af tidligere anmodninger samt omfanget heraf, herunder med hensyn til typen af personoplysninger, der har været omfattet af anmodningerne, kan sådanne oplysninger fra leverandøren ikke indgå i vurderingen.

Henset til den omfangsrige øvelse, det er at vurdere lovgivning og praksis i tredjelandene, anfører Datatilsynet, at hvis der er mange tredjelande involveret i kæden, kan den dataansvarlige basere sin vurdering af landenes lovgivning på et ”worst case scenario”, hvor alle de involverede tredjelande har problematisk lovgivning og/eller praksis.

Hvis der identificeres problematisk lovgivning og praksis i tredjelandet, kan man vælge at undlade at iværksætte overførslen, suspendere overførslen, eller kun anvende cloudtjenesten, hvis der kan træffes supplerende foranstaltninger, der afhjælper de problematiske forhold, fx at tredjelandets retshåndhævende myndigheder masseindsamler oplysninger i strid med proportionalitetsprincippet.

Supplerende foranstaltninger

De supplerende foranstaltninger kan være tekniske, organisatoriske og kontraktuelle. En teknisk foranstaltning er fx kryptering, hvor det skal sikres, at data krypteres "in transit, at rest and in motion", idet man dermed næsten helt kan udelukke, at myndighederne i tredjelandet tilgår oplysningerne. Det afgørende er, at foranstaltningerne er effektive. Kryptering vil ikke udgøre en effektiv foranstaltning, hvis leverandøren foretager krypteringen og efterfølgende selv er i besiddelse af krypteringsnøglen, da den retshåndhævende myndighed i tredjelandet kan stille krav om udleveringen af dekrypteringsnøglen sammen med de krypterede oplysninger.

Det er som nævnt vigtigt at afdække hele databehandlingskæden, og hvis der et sted i kæden overføres oplysninger fra EU-faciliteten til USA eller andre tredjelande, skal analysen om den problematiske lovgivning og behovet for iværksættelse af supplerende foranstaltninger foretages for de næste overførsler.

Særligt om overførsler til cloudtjenester i USA

Cloudtjenester i USA er omfattet af FISA 702, som ifølge EU-Domstolen i Schrems II-dommen udgør problematisk lovgivning. Danske virksomheders overførsler af personoplysninger til cloudtjenester i USA skal derfor undergives supplerende foranstaltninger, inden tjenesten tages i brug. Det gælder særligt, fordi cloudvirksomheder i USA er underlagt lovgivning, der forhindrer dem i at informere fyldestgørende om de retshåndhævende myndigheders anmodninger om udlevering af oplysninger.

Særlig svært er det at overføre personoplysninger i klar tekst til cloudtjenester i USA, da der ifølge Det Europæiske Databeskyttelsesråd ikke findes supplerende foranstaltninger, der er tilstrækkeligt effektive til at imødegå risikoen for materialiseringen af den problematiske lovgivning.

Overførsel af personoplysninger i klar tekst til USA synes derfor på nuværende tidspunkt ikke mulig, medmindre det på baggrund af objektiv, troværdig og tilgængelig information kan påvises, at FISA 702 ikke er relevant for den påtænkte overførsel.

Der kan også være anden problematisk lovgivning i USA, som man skal forholde sig til, inden overførslen påbegyndes.

Særligt om cloudtjenester ejet af selskaber i USA eller andre lande uden for EU

En række cloudvirksomheder har EU-baserede hostingfaciliteter og overfører som udgangspunkt ikke oplysninger til USA, men har en rent EU-baseret leverancemodel via datterselskaber i EU. De tekniske faciliteter hos datterselskaber i EU, altså servere mv., kan alligevel være underlagt CLOUD Act i USA, hvorefter moderselskabet kan pålægges at udlevere oplysningerne til retshåndhævende myndigheder i USA, også selvom oplysningerne kun opbevares hos et datterselskab i EU. Dette skyldes, at CLOUD Act har ekstraterritorial virkning.

Det må antages, at en række andre tredjelande har tilsvarende lovgivning med ekstraterritorial virkning.

Hvis leverandøren eller underdatabehandleren i disse situationer i strid med databehandleraftalen udleverer oplysningerne, foreligger der en ”utilsigtet overførsel”. Det er da cloududbyderen og ikke den dataansvarlige, der er ansvarlig for den (efter databeskyttelsesforordningen ulovlige) videregivelse og internationale overførsel.

Den dataansvarlige skal dog stadig foretage en almindelig risikovurdering af sandsynlighed og konsekvens for den registrerede i forhold til den situation, at datterselskabet måtte udlevere oplysningerne til de amerikanske myndigheder i strid med parternes aftale.

Det er vigtigt for den dataansvarlige, at overførslen ikke er forudsat eller instrueret i databehandleraftalen - i givet fald er det nemlig den dataansvarlige, som vil være ansvarlig for lovligheden af videregivelsen og overførslen af oplysningerne, for en advokat fx fortrolige oplysninger vedrørende klientforholdet. En sådan videregivelse og overførsel vil næsten altid være i strid med GDPR og kan også være i strid med andre regler.

Du kan læse Datatilsynets vejledning om Cloud her