Anbefalingerne fra det Europæiske Databeskyttelsesråd (EDPB) af 12. november 2020, som er formuleret efter EU-domstolens Schrems II afgørelse i juli 2020, giver store udfordringer og anledning til bekymring, i følge kommunernes interesseorganisation, KL.
Med Schrems II-dommen fra 16. juli 2020 er kommunerne blevet pålagt at foretage en vurdering af tredjelandenes databeskyttelsesniveau, herunder landenes lovgivning på området. Det er et krav, hvis kommunerne anvender EU-Kommissionens standardkontrakter som overførselsgrundlag for overførsel af persondata til tredjelande, f.eks. ved brug af cloud-løsninger. Kravet fremgår af anbefalingerne fra EDPB, som blev publiceret den 12. november.
KL har sendt et høringssvar til EDPB den anden vej, og her giver KL udtryk for, at EU-Kommissionen bør foretage denne vurdering på vegne af medlemslandene i stedet for at overlade den opgave til kommunerne samt pege på, hvilke kompenserende foranstaltninger, vurderingen af de enkelte tredjelande medfører. Alternativt bør opgaven løses af leverandørerne. Sådan skriver KL i et høringssvar til EDPB den 21. december 2020.
Fortsat uafklaret
Efter EU-domstolens Schrems II afgørelse den 16. juli 2020, er det uklart, hvordan kommunerne, som dataansvarlige myndigheder skal forholde sig i forhold til persondataoverførsler til tredjelande. Og hvad der er nok så slemt. Der er ikke umiddelbart udsigt til en hurtig afklaring, al den stund at EDPB - som er sammenslutningen af de europæiske datatilsyn - har udarbejdet anbefalinger, som ifølge KL, ikke giver den nødvendige hjælp.
”Desværre ser KL ikke, at anbefalingerne i tilstrækkelig grad giver kommunerne den fornødne hjælp,” skriver KL i et brev til alle landets kommuner, som it-chefer, databeskyttelsesrådgivere og informationssikkerhedsmedarbejdere har modtaget den 14. januar 2021.
Chefkonsulent og jurist Pernille Jørgensen, KL: ”Anbefalingerne fra EDPB om essentielle garantier giver ikke tilstrækkelig konkret hjælp til, hvordan man skal gribe opgaven an med at udføre de vurderinger af tredjelande, som Schrems II-dommen stiller krav om. En opgave, som KL i øvrigt ikke mener, at den enkelte kommune bør være pålagt at udføre.”
Pernille Jørgensen understreger ligeledes, at det ene sæt af de udsendte anbefalinger fra EDPB, anbefalingerne om supplerende foranstaltninger, ikke på nuværende tidspunkt er vedtaget. Og at der er kommet over 200 høringssvar til EDBP´s anbefalinger. Derfor skriver KL til kommunerne, at de fortsat skal forholde sig afventende til EDPB´s anbefalinger, indtil anbefalingerne er endeligt vedtaget.
”Vi ser desuden, at anbefalingerne om supplerende foranstaltninger ikke giver kommunerne nogle valgmuligheder. F.eks. er det overhovedet ikke muligt at overføre data til USA via en cloud-løsning, hvis data behandles i ”klar tekst”, hvad de oftest gør. Fleksibiliteten i GDPR-forordningens risikobaserede tilgang kan vi slet ikke genfinde i disse anbefalinger. Selvom anbefalingerne lægger op til, at man som dataansvarlig skal vælge ”de mest effektive” supplerende foranstaltninger.”
Dilemmaet
Det sætter landets kommuner, myndigheder og private virksomheder i en alvorlig klemme, da Schrems II dommen har underkendt ”Privacy Shield” som overførsels- grundlag for personoplysninger mellem Europa og tredjelande, herunder USA. Derfor afventer alle de endelige anbefalinger fra EDPB. Og KL´s kommentarer til anbefalingerne viser, at der er et stykke vej endnu for at sikre dataoverførselsgrundlaget i det virkelige liv.
EU-domstolen underkender som sagt ”Privacy Shield” som overførselsgrundlag, men godkender EU´s Standardkontraktbestemmelser (SCC). Det betyder, at en dansk kommune ud over en databehandleraftale med sin leverandør skal indgå en standardkontrakt med leverandøren for at have et lovligt overførselsgrundlag for overførsler af data til tredjelande. Og standardkontraktbestemmelserne skal suppleres med kompenserende foranstaltninger, hvis vurderingen af tredjelandene viser, at der er tale om ”usikre tredjelande”.
Ved tredjelande godkendt af EU-Kommissionen, de såkaldt ”godkendte tredjelande”, Uruguay, Israel og Argentina, er der dog ikke behov for hverken standardkontraktbestemmelserne eller supplerende foranstaltninger.
Ved dataoverførsler til de usikre tredjelande er det ikke nok med databehandleraftaler og standardkontraktbestemmelser – her skal der suppleres med kompenserende foranstaltninger. Det er præcis i det område usikkerheden opstår, da EDPB reelt siger, at hvis kommunerne benytter cloudservices må data ikke optræde i klar tekst.
Derved udelukker EDPB, at myndighederne bruger cloudservices som datatransportør til usikre tredjelande, herunder USA.
KL har fremsendt et høringssvar den 21. december 2020 til EDPB:
“Når det kommer til at sikre databehandlingen, giver GDPR masser af fleksibilitet for den dataansvarlige (og databehandleren) til at vælge passende tekniske og organisatoriske foranstaltninger. KL er derfor overrasket over, at de supplerende foranstaltninger præsenteret i Bilag 2 i udkastet til anbefalinger ikke giver plads til fleksibilitet og i stedet stiller strengere krav til databehandlingen, f.eks. stærk kryptering og fejlfri implementeret krypteringsalgoritme”.
“Især use case 6 i udkastet giver anledning til bekymring, da næsten alle cloud
tjenester, der bruges af de danske kommuner, kræver adgang til data i klar tekst. Som en konsekvens af use case 6, vil det ikke længere være muligt at overføre data i klar tekst via cloud tjenester til tredjelande, der kræver supplerende foranstaltninger”.
“I deres nuværende form vil disse nye obligatoriske krav og forbud have store økonomiske konsekvenser for de danske kommuner, ca. anslået 55 millioner euro. (400 mio. kr. red.)” skriver KL til EDPB den 21. december 2020.
”Vores endelige opfordring til kommunerne er, at de skal afvente den endelige udgave af anbefalingerne fra EDPB før, de eventuelt begynder at forhandle med deres leverandører om placeringen af data. De økonomiske konsekvenser alene gør, at vi bliver nødt til at have ”fast grund under fødderne”. Men man kan godt gå i gang med at få overblik over sine tredjelandsoverførsler, få indgået de nødvendige standardkontraktsbestemmelser, hvis man før anvendte Privacy Shield som overførselsgrundlag, og gå i dialog med sine leverandører om deres vurdering af databeskyttelsesniveauet i de tredjelande, de anvender. Det skriver vi mere om i vores anbefalinger til kommunerne på vores hjemmeside, siger Pernille Jørgensen.
Schrems II kort fortalt:
Schrems II-dommen fra EU-domstolen 16. juli har rejst mange spørgsmål om mulighederne for at overføre personoplysninger til lande uden for EU ved hjælp af cloud-løsninger.
Dommen fra 16. Juli 2020 erklærer det hidtidige Privacy Shield overførselsgrundlag, som har været anvendt ved dataoverførsler til USA, for ugyldigt.
Samtidig stiller dommen krav om, at hvis man anvender EU-Kommissionens standardkontrakter (SCC) som overførselsgrundlag, skal man vurdere niveauet af databeskyttelse i det tredjeland, som modtager data.
Hvis databeskyttelsen ikke er god nok i modtagerlandet – eksempelvis Indien – skal kommunen aftale yderligere kompenserende foranstaltninger med databehandleren.
Hvis det ikke er muligt at indgå aftaler om de supplerende foranstaltninger, må der ikke overføres data til tredjelande, herunder USA.
KL har informeret om indholdet af dommen på KL´s hjemmeside og har udsendt et informationsbrev til kommunerne den 14. januar. KL har desuden den 22. januar offentliggjort konkrete anbefalinger til tredjelandsoverførsler til kommunerne på
www.kl.dk.
KL har sendt et høringssvar til EDPB den anden vej, og her giver KL udtryk for, at EU-Kommissionen bør foretage denne vurdering på vegne af medlemslandene i stedet for at overlade den opgave til kommunerne samt pege på, hvilke kompenserende foranstaltninger, vurderingen af de enkelte tredjelande medfører. Alternativt bør opgaven løses af leverandørerne. Sådan skriver KL i et høringssvar til EDPB den 21. december 2020.
Fortsat uafklaret
Efter EU-domstolens Schrems II afgørelse den 16. juli 2020, er det uklart, hvordan kommunerne, som dataansvarlige myndigheder skal forholde sig i forhold til persondataoverførsler til tredjelande. Og hvad der er nok så slemt. Der er ikke umiddelbart udsigt til en hurtig afklaring, al den stund at EDPB - som er sammenslutningen af de europæiske datatilsyn - har udarbejdet anbefalinger, som ifølge KL, ikke giver den nødvendige hjælp.
”Desværre ser KL ikke, at anbefalingerne i tilstrækkelig grad giver kommunerne den fornødne hjælp,” skriver KL i et brev til alle landets kommuner, som it-chefer, databeskyttelsesrådgivere og informationssikkerhedsmedarbejdere har modtaget den 14. januar 2021.
Chefkonsulent og jurist Pernille Jørgensen, KL: ”Anbefalingerne fra EDPB om essentielle garantier giver ikke tilstrækkelig konkret hjælp til, hvordan man skal gribe opgaven an med at udføre de vurderinger af tredjelande, som Schrems II-dommen stiller krav om. En opgave, som KL i øvrigt ikke mener, at den enkelte kommune bør være pålagt at udføre.”
Pernille Jørgensen understreger ligeledes, at det ene sæt af de udsendte anbefalinger fra EDPB, anbefalingerne om supplerende foranstaltninger, ikke på nuværende tidspunkt er vedtaget. Og at der er kommet over 200 høringssvar til EDBP´s anbefalinger. Derfor skriver KL til kommunerne, at de fortsat skal forholde sig afventende til EDPB´s anbefalinger, indtil anbefalingerne er endeligt vedtaget.
”Vi ser desuden, at anbefalingerne om supplerende foranstaltninger ikke giver kommunerne nogle valgmuligheder. F.eks. er det overhovedet ikke muligt at overføre data til USA via en cloud-løsning, hvis data behandles i ”klar tekst”, hvad de oftest gør. Fleksibiliteten i GDPR-forordningens risikobaserede tilgang kan vi slet ikke genfinde i disse anbefalinger. Selvom anbefalingerne lægger op til, at man som dataansvarlig skal vælge ”de mest effektive” supplerende foranstaltninger.”
Dilemmaet
Det sætter landets kommuner, myndigheder og private virksomheder i en alvorlig klemme, da Schrems II dommen har underkendt ”Privacy Shield” som overførsels- grundlag for personoplysninger mellem Europa og tredjelande, herunder USA. Derfor afventer alle de endelige anbefalinger fra EDPB. Og KL´s kommentarer til anbefalingerne viser, at der er et stykke vej endnu for at sikre dataoverførselsgrundlaget i det virkelige liv.
EU-domstolen underkender som sagt ”Privacy Shield” som overførselsgrundlag, men godkender EU´s Standardkontraktbestemmelser (SCC). Det betyder, at en dansk kommune ud over en databehandleraftale med sin leverandør skal indgå en standardkontrakt med leverandøren for at have et lovligt overførselsgrundlag for overførsler af data til tredjelande. Og standardkontraktbestemmelserne skal suppleres med kompenserende foranstaltninger, hvis vurderingen af tredjelandene viser, at der er tale om ”usikre tredjelande”.
Ved tredjelande godkendt af EU-Kommissionen, de såkaldt ”godkendte tredjelande”, Uruguay, Israel og Argentina, er der dog ikke behov for hverken standardkontraktbestemmelserne eller supplerende foranstaltninger.
Ved dataoverførsler til de usikre tredjelande er det ikke nok med databehandleraftaler og standardkontraktbestemmelser – her skal der suppleres med kompenserende foranstaltninger. Det er præcis i det område usikkerheden opstår, da EDPB reelt siger, at hvis kommunerne benytter cloudservices må data ikke optræde i klar tekst.
Derved udelukker EDPB, at myndighederne bruger cloudservices som datatransportør til usikre tredjelande, herunder USA.
KL har fremsendt et høringssvar den 21. december 2020 til EDPB:
“Når det kommer til at sikre databehandlingen, giver GDPR masser af fleksibilitet for den dataansvarlige (og databehandleren) til at vælge passende tekniske og organisatoriske foranstaltninger. KL er derfor overrasket over, at de supplerende foranstaltninger præsenteret i Bilag 2 i udkastet til anbefalinger ikke giver plads til fleksibilitet og i stedet stiller strengere krav til databehandlingen, f.eks. stærk kryptering og fejlfri implementeret krypteringsalgoritme”.
“Især use case 6 i udkastet giver anledning til bekymring, da næsten alle cloud
tjenester, der bruges af de danske kommuner, kræver adgang til data i klar tekst. Som en konsekvens af use case 6, vil det ikke længere være muligt at overføre data i klar tekst via cloud tjenester til tredjelande, der kræver supplerende foranstaltninger”.
“I deres nuværende form vil disse nye obligatoriske krav og forbud have store økonomiske konsekvenser for de danske kommuner, ca. anslået 55 millioner euro. (400 mio. kr. red.)” skriver KL til EDPB den 21. december 2020.
”Vores endelige opfordring til kommunerne er, at de skal afvente den endelige udgave af anbefalingerne fra EDPB før, de eventuelt begynder at forhandle med deres leverandører om placeringen af data. De økonomiske konsekvenser alene gør, at vi bliver nødt til at have ”fast grund under fødderne”. Men man kan godt gå i gang med at få overblik over sine tredjelandsoverførsler, få indgået de nødvendige standardkontraktsbestemmelser, hvis man før anvendte Privacy Shield som overførselsgrundlag, og gå i dialog med sine leverandører om deres vurdering af databeskyttelsesniveauet i de tredjelande, de anvender. Det skriver vi mere om i vores anbefalinger til kommunerne på vores hjemmeside, siger Pernille Jørgensen.
Schrems II kort fortalt:
Schrems II-dommen fra EU-domstolen 16. juli har rejst mange spørgsmål om mulighederne for at overføre personoplysninger til lande uden for EU ved hjælp af cloud-løsninger.
Dommen fra 16. Juli 2020 erklærer det hidtidige Privacy Shield overførselsgrundlag, som har været anvendt ved dataoverførsler til USA, for ugyldigt.
Samtidig stiller dommen krav om, at hvis man anvender EU-Kommissionens standardkontrakter (SCC) som overførselsgrundlag, skal man vurdere niveauet af databeskyttelse i det tredjeland, som modtager data.
Hvis databeskyttelsen ikke er god nok i modtagerlandet – eksempelvis Indien – skal kommunen aftale yderligere kompenserende foranstaltninger med databehandleren.
Hvis det ikke er muligt at indgå aftaler om de supplerende foranstaltninger, må der ikke overføres data til tredjelande, herunder USA.
KL har informeret om indholdet af dommen på KL´s hjemmeside og har udsendt et informationsbrev til kommunerne den 14. januar. KL har desuden den 22. januar offentliggjort konkrete anbefalinger til tredjelandsoverførsler til kommunerne på
www.kl.dk.