Hvad er Schrems II?

EU-Domstolen afsagde Schrems II-dommen den 16. juli 2020 med betydelige konsekvenser for brugen af amerikanske cloud-tjenester. Kunder hos amerikanske cloud-tjenesteudbydere skal nu uafhængigt kontrollere modtagerlandets databeskyttelseslovgivning, dokumentere deres risikovurdering og rådføre sig med deres kunder. Denne artikel går i dybden med, hvad Schrems II-afgørelsen betyder for din virksomhed.

Baggrund for Schrems II

Sagen opstod efter aktivisten Maximilian Schrems' anmodning om, at den irske databeskyttelseskommissær skulle erklære SCC'en for ugyldig for Facebooks brug af overførsel af personoplysninger til sit hovedkvarter i USA. Det blev hævdet, at de amerikanske efterretningstjenester kunne få adgang til personoplysninger, mens de var under overførsel til og opbevaret i USA. Ifølge Schrems ville dette være i strid med GDPR og mere generelt med EU-retten.

GDPR's hovedregel er, at overførsler uden for EU og EØS er forbudt, medmindre der anvendes en passende sikkerhedsforanstaltning. Først og fremmest er der EU-Kommissionens beslutninger om tilstrækkelighed, hvor EU-Kommissionen konkluderer, at et lands databeskyttelseslovgivning i det væsentlige er lig GDPR efter en grundig udvikling af de nationale love. Derefter, før Schrems II, mekanismerne for sikker overførsel uden for EU/EØS: Privacy Shield, EU's standardkontraktbestemmelser og bindende virksomhedsregler.

Privacy Shield ugyldiggjort på grund af mangler i amerikansk lovgivning

Flere mangler i amerikansk lovgivning hindrede beskyttelsen af personoplysninger og var i strid med GDPR. Domstolen fremhævede i det væsentlige de brede overvågningsmuligheder, som de amerikanske love om national sikkerhed giver (navnlig US Foreign Intelligence Surveillance Act (FISA) Section 702, Executive Order 12333 og Presidential Policy Directive 28). Disse love regulerer de amerikanske myndigheders adgang til og brug af personoplysninger, der importeres fra EU til USA, men de mangler de nødvendige garantier for at beskytte de registrerede personer i EU, der kan blive genstand for undersøgelser vedrørende national sikkerhed, tilstrækkeligt.

Domstolen fastslog navnlig, at de registreredes rettigheder ikke kunne gøres gældende ved domstolene over for de amerikanske myndigheder. Privacy Shield havde overvejet en sikkerhedsforanstaltning i form af en ombudsmand. Ikke desto mindre manglede denne rolle beføjelser til at træffe beslutninger, der ville være bindende for amerikanske efterretningstjenester.

Yderligere komplikationer ved brug af SCC for amerikanske tjenester

Husk på, at denne afgørelse kun har ringe indvirkning på de fleste virksomheder, der bruger SCC til at legitimere grænseoverskridende dataoverførsler, der foretages via deres egne kommunikationssystemer uden for USA.

Vurder, om modtagerorganisationen er omfattet af FISA-afsnit 702 og Executive Order 12333, som typisk finder anvendelse, når modtageren er en udbyder af kommunikationstjenester, i forbindelse med eventuelle amerikanske overførsler.

Tilføje yderligere sikkerhedsforanstaltninger til SCC'erne (kaldet SCC plus), hvor eksportøren og importøren regulerer eventuelle resterende risici i forbindelse med dataoverførslen. Det vil være afgørende at medtage i aftalen for amerikanske overførsler, f.eks. hvordan anmodninger fra myndigheder om adgang til personoplysninger skal håndteres for at sikre, at din organisation har tilstrækkelig kontrol. Der kan også gennemføres tekniske kontroller for at begrænse brugen af data.

Vil der være en karensperiode for Schrems II-dommen?

Privacy Shield's ugyldighed var øjeblikkelig. Privacy Shield var ugyldigt fra den 16. juli 2020 og bør ikke anvendes. På nuværende tidspunkt (23. november 2020) er der ingen proaktiv håndhævelse fra tilsynsmyndigheder. Tilsynsmyndighederne ser ud til at anlægge en konservativ tilgang og give organisationer mulighed for at tilpasse deres processer og infrastruktur. Vejledningen fra EU-Kommissionen og Det Europæiske Databeskyttelsesråd om, hvordan man skal handle efter Schrems II, er særligt ventet, da den vil skabe større klarhed.

Det skal bemærkes, at aktivistgruppen bag denne beslutning i efteråret sagsøgte 101 europæiske virksomheder (herunder markedsledende nordiske og svenske virksomheder) og søgte at få håndhævet deres brug af Google Analytics og Facebook Connect-integrationer på deres websteder.

Kan vi fortsat bruge bindende virksomhedsregler til at overføre data til USA?

Schrems II-afgørelsen kan have en indvirkning på overførsler baseret på bindende virksomhedsregler (Binding Corporate Rules, BCR). Modtagerlandets lovgivning uden for EU/EØS skal undersøges for at fastslå, om den giver samme beskyttelse af privatlivets fred som GDPR.

Det er organisationens ansvar at eksportere data til USA eller et andet tredjeland med henblik på en vurdering af overførselsrisikoen. En analyse af datastrømmen, leverandørens adgang til dataene, modtagerlandets lovgivning, om der gælder yderligere sikkerhedsforanstaltninger for SCC'erne, og alternativer til leverandøren dokumenteres i en sådan vurdering.

Når de nationale tilsynsmyndigheder godkender bindende virksomhedsregler, skal BCR'ernegennemgås for at sikre, at de opfylder kravene i GDPR. BCR'erne beskriver, hvordan en specifik virksomhedsgruppe overholder de grundlæggende databeskyttelsesprincipper såsom formålsbegrænsning, dataminimering, registreredes rettigheder og klagebehandling. Det er virksomhedskoncernens ansvar at sikre, at den nationale lovgivning i modtagerlandene er i overensstemmelse med GDPR.

Godkendelsen fra en national tilsynsmyndighed betyder ikke, at alle overførsler automatisk vil blive godkendt. Den nationale tilsynsmyndighed vurderer ikke, om modtagerlandets lovgivning overholder GDPR's krav.