Resultatet af EU-Domstolens afgørelse i Schrems II sagen kan have store konsekvenser for it-leverandørerne, da domstolen nu slår fast, at man fremadrettet også skal vurdere selve modtagerlandets beskyttelsesniveau.
Dermed får virksomhederne og i praksis især it-leverandørerne en langt større opgave med at kunne dokumentere beskyttelsesniveauerne i de forskellige lande, hvis de vil benytte underleverandører uden for EU i forhold til f.eks. cloud-tjenester.
Gamle overførselsgrundlag ikke godt nok
EU-Domstolen slår i sin dom fra 16. juni 2020 fast, at det ikke er tilstrækkeligt kun at vurdere modtagervirksomhedens beskyttelsesniveau, eller at modtagervirksomheden blot havde accepteret, at de var forpligtet til den nødvendige beskyttelse.
For hvis virksomhedens forpligtelse i realiteten ikke kan håndteres i modtagerlandet, f.eks. hvis modtagerlandet kan kræve adgang til persondata uden en retsproces, der svarer til den, man er garanteret i EU, så må virksomheden ikke få adgang til persondata, heller ikke ved brug af EU’s standardkontrakter.
I den konkrete sag vurderede EU-Domstolen, at myndighederne i USA havde for bred adgang til persondata uden den nødvendige domstolskontrol eller klageadgang for EU-borgere, og derfor nåede de frem til, at Privacy Shield ikke var et tilstrækkeligt overførselsgrundlag.
EU’s egne standardkontrakter kan som sådan fortsat bruges som overførselsgrundlag, men der er kommet et skærpet fokus på, om modtagerlandet nu også reelt har en tilstrækkelig beskyttelse. Man skal med andre ord nu selv undersøge, om modtagerlandets retssystem og persondatabeskyttelse lever op til EU’s krav.
Hvis det viser sig, at standardkontrakterne reelt ikke kan håndhæves i det pågældende land, så kan de heller ikke længere bruges som grundlag for en aftale.
”Det giver jo anledning til nogle overvejelser. Kan man f.eks. gennem aftaler hæve beskyttelsesniveauet? Er der lande, som man aldrig vil kunne overføre persondata til som f.eks. Kina, Iran og Rusland?,” siger Tim Krarup Nielsen, Certificeret IT-advokat hos DAHL Advokatfirma.
Større opgave for leverandøren
Selvom det stadig i første omgang er kunden (den dataansvarlige), der har forpligtelsen, da disse kontrakter altid indgås med den dataansvarlige som den ene part, så er der ingen tvivl om, at det i praksis ofte er it-leverandøren, der ender med forpligtelsen.
Typisk anvender en kunde en leverandør inden for EU, f.eks. en dansk it-virksomhed, som så igen har en underleverandør (underdatabehandler) uden for EU.
Kunden vil derfor forvente, at leverandøren har styr på deres underleverandører, og som noget nyt også om modtagerlandets beskyttelsesniveau og retssikkerhed er i orden, da dette skal dokumenteres og kunne forevises til Datatilsynet.
Kan man overhovedet have persondata uden for EU?
DAHL Advokatfirma anbefaler, at man helt overordnet genovervejer, om persondata kan holdes inden for EU. På den måde undgår man problemer – uanset om man er kunde (dataansvarlig) eller leverandør (databehandler).
”Når man også skal sætte sig ind i og garantere modtagerlandets beskyttelsesniveau, bliver det hurtigt ganske enkelt for dyrt og risikofyldt for både kunden og leverandøren at have persondata liggende uden for EU. Så jeg tror, at brugen af leverandører uden for EU vil falde drastisk fremover,” udtaler Tim Krarup Nielsen, og bemærker, at blot læseadgang til persondata anses som en overførelse – også selvom persondata fysisk stadig er placeret i EU.
Anvender man i dag Privacy Shield, bør dette straks erstattes med et andet grundlag, f.eks. standardkontrakterne (hvis de kan anvendes).
Samtidig skal it-leverandøren (databehandler) nøje overveje underleverandørkæden og genbesøge alle underleverandører uden for EU, så der nu også bliver gennemført en generel undersøgelse af landets beskyttelsesniveau og retssikkerhed.
Hvis man når frem til, at beskyttelsen er for lav, skal man ophøre med at anvende underleverandøren.
Du kan læse DAHL Advokatfirmas Q&A vedr. domme på deres hjemmeside.
Hvis du vil vide mere
Som medlem af IT-Branchen kan du altid ringe til vores erhvervsjuridiske hotline, 33 74 64 00 eller skrive, at vi skal ringe dig op på hotline@danskerhverv.dk. Som medlem er det gratis at kontakte vores hotline.
Du kan også altid kontakte DAHL Advokatfirma, som IT-Branchen samarbejder med. Her kan du tilkøbe rådgivning med en unik IT-Branchen-medlemsrabat.
Faktaboks om Privacy Shield og standardkontrakter
Persondataforordningen, eller GDPR som den også kaldes, gør det klart, at man frit kan overføre og behandle persondata inden for EU, så længe persondatareglerne overholdes.
Persondata må derimod ikke forlade EU, uden et såkaldt overførselsgrundlag er i orden, hvilket vil sige, at modtagerlandet skal have samme beskyttelse af persondata, som man har i EU.
Hidtil har man anvendt to primære overførelsesgrundlag: Privacy Shield-ordningen og EU-Kommissionens standardkontrakter.
Privacy Shield var en aftale mellem EU og USA, hvor en virksomhed i USA kunne tilmelde sig ordningen, og virksomheden blev derved underlagt en række ekstra krav og regler, som skulle sikre samme høje persondatabeskyttelse som i EU. Derefter blev virksomheden anset for at være ”sikker” – også selvom den var etableret i USA.
EU-Kommissionens standardkontrakter har samme formål som Privacy Shield. De forpligter også modtageren til at sikre samme høje persondatabeskyttelse som i EU. Her er der dog tale om en aftale, som er indgået mellem afsenderen inden for EU og modtageren uden for EU.