Schrems II dommen og de efterfølgende anbefalinger fra det Europæiske Databeskyttelsesråd, EDPB, gør det særligt problematisk for kommuner og virksomheder at bruge amerikanske cloudleverandører til overførsel af persondata fra EU-lande til lande uden for EU.
Det siger bestyrelsesformand i Rådet for Digital sikkerhed, Henning Mortensen, der er CISO og CPO ved Brødrene A & O Johansen og som gennemgår Schrems II dommen og anbefalingerne fra EDPB.
Den 16. juli 2020 traf EU-domstolen Schrems II afgørelsen, der
erklærede ”Privacy Shield” for ugyldigt som dataoverførselsgrundlag
af persondata fra EU-lande til USA. Standard kontrakterne (SCC) blev kendt gyldige som overførselsgrundlag, men med en række krav om, at de ikke kan bruges ukritisk, men skal ledsages af en vurdering af sikkerheden i det tredjeland, som modtager data og eventuelt med supplerende foranstaltninger, hvis tredjelandet anses for at være usikkert.
USA usikkert tredjeland
En del af EU-domstolens afgørelse slog også fast, at USA måtte opfattes som et usikkert tredjeland, da der fortsat er masseovervågning i henhold til FISA 702. Domstolen vurderer, at USA ikke opfylder de essentielle garantier for persondatabeskyttelse.
Kort tid efter afgørelsen – den 12. november 2020 – siger EDPB - det europæiske databeskyttelsesråd - at dommen er interessant, og at de gerne vil sende en række anbefalinger til, hvordan dommen skal omsættes i praksis.
Henning Mortensen: ”EDPB kommer med nogle kommentarer til, hvordan de synes, man bør gøre det i praksis. De vil også gerne kommentere, hvad det er for nogle supplerende foranstaltninger man kan forestille sig at iværksætte for at løse problemerne med dataoverførsler til usikre tredjelande efter at Privacy Shield er dømt ude”.
Use case 6: særligt problematisk
I EDPB´s anbefalinger af 12. november 2020 opregner Databeskyttelsesrådet en række scenarier. Det er især Use case 6, der, ifølge Henning Mortensen, er udfordrende for kommuner og private virksomheder:
Henning Mortensen: ”Overførsel til cloudtjenesteudbydere eller tilsvarende udbydere, der kræver adgang til data i klar tekst, dér forestiller EDPB sig ikke, at der findes tekniske foranstaltninger, som sammen med de supplerende foranstaltninger kan give en essentiel beskyttelse af data, der er ækvivalent med GDPR.”
”Det er særligt problematisk, da der mig bekendt ikke er cloudtjenester, der fungerer sådan, at data er krypterede hele vejen fra de forlader terminalen og til de ligger nede i databasen. Det er sådan, at når transportkrypteringen brydes og omsættes til lagring i databasen, da vil data typisk være i klar tekst. Anbefalingen i Use case 6 fra EDBP udgør et stort problem, da det gør det ulovligt at bruge cloudtjenester.”
Use case 6 er, ifølge Henning Mortensen, sagens kerne.
”Vi bliver først rigtig meget klogere, når der bliver afgjort sager efter EU-domstolens afgørelse. Vil de afgørelser gå længere end EU-domstolens dom?” spørger Henning Mortensen.
Max Schrems 101 sager
Som opfølgning på dommen ved EU-domstolen har Max Schrems, gennem organisationen NOYB (my privacy is None Of Your Business) anlagt 101 sager om dataoverførsler ved alle de forskellige europæiske datatilsyn. Max Schrems har ønsket, at Schrems II-afgørelsen skulle få praktisk virkning.
Med de nye anbefalinger fra EDPB “må det antages, at der i det mindste, når høringsfristen er udløbet, kan træffes afgørelse i disse sager, og dermed vil foreligge en betydelig mængde af praksis på, under hvilke omstændigheder, der kan ske lovlige tredjelandsoverførsler til USA. For de dataansvarlige er det værd at vente, til vi ser, om der sker væsentlige ændringer i anbefalingerne i løbet af høringsperioden,” siger Henning Mortensen.
I praksis skal den dataansvarlige sikre, at data ikke kan overføres til USA, selvom FISA 702 kan tvinge amerikanske cloudleverandører til at udlevere data. Det kan kun gøres, hvis databehandleren ikke har adgang til data i klar tekst og ikke har adgang til krypteringsnøglen som kan låse data op i klar tekst.
Der er som nævnt ingen cloudløsninger, der er designet på den måde.
Så lige nu er der kun at vente på en ny aftale, som erstatter Privacy Shield.
“Når man frem til, at man ikke kan gennemføre tredjelandsoverførslen på et lovligt retligt grundlag – herunder med de tekniske foranstaltninger, som skaber en passende ækvivalens – skal overførslen ikke iværksættes eller ophøre,” siger Henning Mortensen.
Den 16. juli 2020 traf EU-domstolen Schrems II afgørelsen, der
erklærede ”Privacy Shield” for ugyldigt som dataoverførselsgrundlag
af persondata fra EU-lande til USA. Standard kontrakterne (SCC) blev kendt gyldige som overførselsgrundlag, men med en række krav om, at de ikke kan bruges ukritisk, men skal ledsages af en vurdering af sikkerheden i det tredjeland, som modtager data og eventuelt med supplerende foranstaltninger, hvis tredjelandet anses for at være usikkert.
USA usikkert tredjeland
En del af EU-domstolens afgørelse slog også fast, at USA måtte opfattes som et usikkert tredjeland, da der fortsat er masseovervågning i henhold til FISA 702. Domstolen vurderer, at USA ikke opfylder de essentielle garantier for persondatabeskyttelse.
Kort tid efter afgørelsen – den 12. november 2020 – siger EDPB - det europæiske databeskyttelsesråd - at dommen er interessant, og at de gerne vil sende en række anbefalinger til, hvordan dommen skal omsættes i praksis.
Henning Mortensen: ”EDPB kommer med nogle kommentarer til, hvordan de synes, man bør gøre det i praksis. De vil også gerne kommentere, hvad det er for nogle supplerende foranstaltninger man kan forestille sig at iværksætte for at løse problemerne med dataoverførsler til usikre tredjelande efter at Privacy Shield er dømt ude”.
Use case 6: særligt problematisk
I EDPB´s anbefalinger af 12. november 2020 opregner Databeskyttelsesrådet en række scenarier. Det er især Use case 6, der, ifølge Henning Mortensen, er udfordrende for kommuner og private virksomheder:
Henning Mortensen: ”Overførsel til cloudtjenesteudbydere eller tilsvarende udbydere, der kræver adgang til data i klar tekst, dér forestiller EDPB sig ikke, at der findes tekniske foranstaltninger, som sammen med de supplerende foranstaltninger kan give en essentiel beskyttelse af data, der er ækvivalent med GDPR.”
”Det er særligt problematisk, da der mig bekendt ikke er cloudtjenester, der fungerer sådan, at data er krypterede hele vejen fra de forlader terminalen og til de ligger nede i databasen. Det er sådan, at når transportkrypteringen brydes og omsættes til lagring i databasen, da vil data typisk være i klar tekst. Anbefalingen i Use case 6 fra EDBP udgør et stort problem, da det gør det ulovligt at bruge cloudtjenester.”
Use case 6 er, ifølge Henning Mortensen, sagens kerne.
”Vi bliver først rigtig meget klogere, når der bliver afgjort sager efter EU-domstolens afgørelse. Vil de afgørelser gå længere end EU-domstolens dom?” spørger Henning Mortensen.
Max Schrems 101 sager
Som opfølgning på dommen ved EU-domstolen har Max Schrems, gennem organisationen NOYB (my privacy is None Of Your Business) anlagt 101 sager om dataoverførsler ved alle de forskellige europæiske datatilsyn. Max Schrems har ønsket, at Schrems II-afgørelsen skulle få praktisk virkning.
Med de nye anbefalinger fra EDPB “må det antages, at der i det mindste, når høringsfristen er udløbet, kan træffes afgørelse i disse sager, og dermed vil foreligge en betydelig mængde af praksis på, under hvilke omstændigheder, der kan ske lovlige tredjelandsoverførsler til USA. For de dataansvarlige er det værd at vente, til vi ser, om der sker væsentlige ændringer i anbefalingerne i løbet af høringsperioden,” siger Henning Mortensen.
I praksis skal den dataansvarlige sikre, at data ikke kan overføres til USA, selvom FISA 702 kan tvinge amerikanske cloudleverandører til at udlevere data. Det kan kun gøres, hvis databehandleren ikke har adgang til data i klar tekst og ikke har adgang til krypteringsnøglen som kan låse data op i klar tekst.
Der er som nævnt ingen cloudløsninger, der er designet på den måde.
Så lige nu er der kun at vente på en ny aftale, som erstatter Privacy Shield.
“Når man frem til, at man ikke kan gennemføre tredjelandsoverførslen på et lovligt retligt grundlag – herunder med de tekniske foranstaltninger, som skaber en passende ækvivalens – skal overførslen ikke iværksættes eller ophøre,” siger Henning Mortensen.