Sådan Skal Du Forholde Dig Til Schrems II Afgørelsen I 2021

I juli 2020 ugyldiggjorde EU-domstolen rammerne for EU-US Privacy Shield-ordningen gennem Schrems II-afgørelsen. Dette har besværliggjort brugen af tjenester, som har base uden for EU, hvis man samtidigt skal overholde GDPR. I følgende blogindlæg forsøger jeg at guide dig igennem, hvordan du kontrollerer, om din brug af disse tjenester kan gøres i overensstemmelse med GDPR.

EU-US Privacy Shield-ordningen var en ordning for udvekslingen af personoplysninger mellem EU og USA. Maximillian Schrems, en østrigst privatlivsaktivist mente dog ikke, at amerikanske virksomheder ikke kunne garantere overholdelse af GDPR. Han mente bl.a., at det var problematisk, at den amerikanske stat kunne få indsigt i personoplysninger ved den mindste mistanke om terrorisme. EU-domstolen gav Schrems ret og afgjorde i 2020, at Privacy Shield-ordningen ikke kunne bruges til at overføre personoplysninger til såkaldte tredjeparts-lande heriblandt USA.

afgørelsen medførte stor usikkerhed om, hvordan organisationer i EU skulle behandle personoplysninger, idet så mange af de tjeneste, heriblandt cloud-tjenester, som vi bruger i dag (tænk Microsoft, Google, Amazon) har base uden for EØS (Det Europæiske Økonomiske Samarbejdsområde). Det værst tænkelige scenarie ved afgørelsen var, at organisationer i EU ikke længere ville kunne bruge software eller en cloud løsning uden for EU, hvilket omfatter mange vigtige tjenester.

Siden afgørelsen har alle organisationer holdt vejret og ventet på nye anbefalinger fra politikere og offentlige myndigheder for at afgøre, hvad der så skal ske.

Nu har Det Europæiske Databeskyttelsesråd (EDPB) kommet med en melding om anbefalinger om databeskyttelse for overholdelse af GDPR, når man bruger tjenester fra tredjelande. I dette blogindlæg giver vi et resumé af disse anbefalinger og gør rede for, hvordan din organisation kan arbejde med disse nye ændringer.

Schrems ll-afgørelsen fremhæver dét ansvar, som dataansvarlig og databehandler har for at sikre, at behandlingen af personoplysninger fortsat udføres i overensstemmelse med GDPR. Som dataansvarlig skal man ophæve overførslen eller opsige kontrakten, hvis behandleren ikke overholder det databeskyttelsesniveau, der er fastsat i EU-lovgivningen.

Det lyder alt sammen lidt skræmmende, men heldigvis understreger EDPB, at der blot er tale om en almindelig proces, og de har udarbejdet 6 trin, man kan følge for at tilpasse sig.

Det første trin er at sikre, at du er fuldt ud klar over, hvor de personoplysninger, som din organisation behandler ryger hen og hvilke tjenester I bruger, på baggrund af de tjenester, du bruger. Det omfatter, hvor disse cloud-tjenester kommer fra helt fysisk – f.eks. USA. Din organisation kan muligvis også have fjernadgang til et tredjeland for at få support. Ved at praktisere dataminimering har du styr på, at I har overblik over alt persondata i behandler, og hvor det befinder sig. Dataminimeringer går ud på at sørge for, at de data, du overfører, er tilstrækkelige, relevante og begrænset til det nødvendige, for at reducere risikoen for at forårsage databrud.

Derudover kan IT Asset Management også bruges til at få et overblik over tjenester og devices i ens organisation. Hvis du allerede har IT Asset Management i din organisation, bør du allerede have en liste over de tjenester, som bruges i organisationen, hvilket er et godt udgangspunkt for at vide hvilke overførsler du har.

Det er vigtigt at få tjekket op på de tjenester, som man har brug for til at håndtere persondata. Hvilke lande bliver der overført persondata til og hvordan?

I kapitel 5 i GDPR-lovgivningen er der en liste over godkendte tjenester og lande. Hvis Europa-Kommissionen allerede har erklæret det land, den region eller sektor, hvortil du overfører data, som anerkendt i henhold til artikel 45 i GDPR eller det tidligere direktiv 95/46, behøver du ikke at tage yderligere skridt, så længe afgørelsen stadig er gældende. Dog er det vigtigt at holde øje med, om afgørelsen stadig er gældende senere.

Indtil videre har Europa -Kommissionen kun anerkendt Andorra, Argentina, Canada, Færøerne, Guernsey, Israel, Isle of Man, Japan, Jersey, New Zealand, Schweiz og Uruguay som havende tilstrækkelig beskyttelse. Da de fleste af de tjenester, mange virksomheder bruger, kommer fra USA, er det sandsynligt, at der ikke er nogen afgørelse om tilstrækkelighed, og derfor bliver du nødt til at gøre brug af de overførselsværktøjer, som er anført under artikel 46 i GDPR. Overførselsværktøjer omfatter bindende virksomhedsregler, adfærdskodekser, certificeringsmekanismer og ad hoc-kontraktbestemmelser.

Heldigvis er nogle af de store tjenesteudbydere forpligtet til at arbejde i overensstemmelse med GDPR, og du vil ikke skulle ophæve brugen af de væsentligste tjenester. For eksempel, kan Microsoft-produkter stadig bruges, og større virksomheder har højst sandsynligt allerede specifikke databeskyttelsesaftaler med dem. Vi anbefaler dog stadig at tale med en ekspert indenfor GDPR for at forstå, hvilke tjenester netop din organisation kan og ikke kan bruge.

Det tredje trin handler om at vurdere, om der gælder nogen særlove eller praksis i et tredjeland, som kan være med til at påvirke effektiviteten af de sikkerhedsforanstaltninger i forbindelse med de overførselsværktøjer, som du anvender. For eksempel, hvis et tredjelands love dikterer, at de har fuldt ejerskab af personlige data, der kommer ind via deres servere, ved mistanke om terrorisme, så er denne service ikke den rigtige at bruge – dette eksempel blev netop brugt ifm. Schrems II-sagen.

Dette trin er kun nødvendigt, hvis din vurdering i 3. trin afslører, at dit tredjeland er med til at reducere effektiviteten af dine sikkerhedsforanstaltninger – desværre er dette ofte tilfældet, når du bruger amerikanske tjenester. Vi henviser til bilag 2 (side 28 i EDPB’s anbefalinger) for eksempler på mulige scenarier, og hvordan de kan håndteres.

Det femte trin er at tage alle formelle proceduremæssige trin for optagelsen af de supplerende værktøjer, som baseres på resultaterne fra de foregående trin. Det skal gøres for at sikre, at der ikke laves fejl.

Det sjette trin gælder om regelmæssigt at vurdere, om der er sket ændringer (f.eks. i et tredjelands love eller sikkerhedsforanstaltninger), der kan forårsage nedsat beskyttelse af personoplysninger.

Denne opgave bliver naturligvis sværere, hvis du har valgt at bruge tjenester fra flere end et tredjepartsland, da du så bliver nødt til at holde dig opdateret på mange forskellige landes love. Derfor kan det være en god idé at forsøge udelukkende at bruge EU-tjenester eller dem, der er godkendt heraf. Ifølge disse retningslinjer vil tilsynsmyndighederne overvåge anvendelsen og håndhævelsen af GDPR. Baseret på Schrems II-afgørelsen vil myndighederne suspendere eller forbyde dataoverførsler, hvor der ikke bliver overholdt et bestemt sikkerhedsniveau.

Schrems II-afgørelsen gør det meget klart, at hvis personoplysninger skal overføres ud af EU, skal det ske på et tilstrækkeligt højt databeskyttelsesniveau, som angivet i GDPR. Deres anbefalinger beskriver, hvordan vi kan sikre beskyttelsen af personoplysninger, selvom vi bruger tjenester fra tredjelande. Hvis det korrekte beskyttelsesniveau stadig ikke opnås, efter at have anvendt supplerende foranstaltninger, skal vi afslutte eller suspendere brugen af tredjelands tjenester.

Ligesom organisationer har tilpasset sig GDPR på forskellige måder, anvender organisationer også personoplysninger forskelligt og har desuden ikke altid samme krav til beskyttelsesniveauet. Nedenunder, kommer vi med tre konkrete anbefalinger til hvordan alle organisationer kan forholde sig til optagelsen af Schrems II-afgørelsen. Du kan også læse om, hvordan du sikrer dig, at din virksomhed overholder GDPR her.

Ét initiativ, som kan gavne din organisation, er at bruge dataminimering. Ved at kontrollere, at de data, som du overfører, er tilstrækkelige, relevante og begrænset til det nødvendige reducerer du risikoen for databrud. Dermed reducerer du også risikoen for at forårsage databrud i et tredjeland.

I et tidligere blogindlæg har vi skrevet om, hvordan Plan-Do-Check-Act (PDCA) -processen kan hjælpe med at opretholde din organisations informationssikkerhed. Baseret på de 6 anbefalede trin, skal man regelmæssigt revurdere de supplerende foranstaltninger for at sikre databeskyttelse, hvilket hænger godt sammen med Check-delen af PDCA-processen. Hyppigheden af dine revurderinger og kontroller afhænger af dine behov, eller din organisations.

Et fælles tema i anbefalingerne fra EDPB er, at organisationer skal dokumentere deres resultater og de foranstaltninger, de implementerer for at sikre databeskyttelse. Det kan let ske, at det ændrer sig, hvilke personoplysninger man har brug for som organisation. Dermed ændres også, hvordan man behandler personoplysningerne, hvilket kan gøre, at man skal følge andre regler. Det er derfor en fordel at have rettidig omhu og have klare processer for ens arbejde med GDPR, så man er opmærksom på evt. ændringer. Her kan man også overveje at blive at blive certificeret eller revideret. Det gør det lettere at vise samarbejdspartnere, at man lever op til krav, men sikre også, at man selv holder sig ajour med ens datahåndtering, da man ellers ikke består certificeringen.

Vi håber, at blogindlægget har hjulpet dig med bedre at forstå, hvad Schrems II-afgørelsen kan betyde for, hvordan du fortsat overholder GDPR i din organisation. Hvis du ønsker at få informative blogindlæg sendt direkte til din indbakke, kan du abonnere på vores nyhedsbrev herunder!