Bliv opdateret på internationale dataoverførsler

EU-Kommissionen har vedtaget UK-tilstrækkelighedsafgørelser 

Til mange virksomheders store lettelse har EU-kommissionen den 28. juni 2021 vedtaget to afgørelser, der fastslår, at beskyttelsesniveauet i Storbritannien i det væsentligste svarer til det, der sikres indenfor EU.

Da Storbritannien udtrådte af EU den 31. januar 2020, blev Storbritannien et tredjeland i databeskyttelsesforordningens forstand. EU-Kommissionen nåede ikke at træffe en tilstrækkelighedsafgørelse inden den 31. januar 2020 i forhold til Storbritannien. Derfor blev der i Handelsaftalen mellem Storbritannien og EU etableret en midlertidig "databro", som tillod, at overførsler af personoplysninger mellem Storbritannien og EU indtil den 30. juni 2021 kunne finde sted på samme vilkår som før Brexit.

Blot to dage inden databroens kollaps har EU-Kommissionen vedtaget to tilstrækkelighedsafgørelser om Storbritanniens behandling af personoplysninger, der fastslår, at niveauet for beskyttelsen af personoplysninger i Storbritannien er tilstrækkeligt i forhold til henholdsvis databeskyttelsesforordningen og retshåndhævelsesdirektivet. Det indebærer, at virksomheder frit kan overføre personoplysninger til Storbritannien uden en særskilt hjemmel i databeskyttelsesforordningen. Det er derfor ikke nødvendigt f.eks. at indgå SCC'er med modtageren i Storbritannien. Det skal dog stadig sikres, at de øvrige bestemmelser i databeskyttelsesforordningen og databeskyttelsesloven om efterlevelse af de generelle principper, behandlingshjemmel m.v. er opfyldt.

Tilstrækkelighedsbeslutningerne udløber den 27. juni 2025, medmindre de forlænges. Forlængelsen er betinget af, at beskyttelsesniveauet ikke forværres. EU-Kommissionen vil tilmed fortsætte med at overvåge beskyttelsesniveauet i Storbritannien i de kommende år og har mulighed for at tilbagetrække tilstrækkelighedsafgørelserne, hvis de vurderes, at Storbritannien ikke længere lever op til beskyttelsesniveauet inden for EU/EØS. 

Læs EU-Kommissionens pressemeddelelse. 
Læs EU-Kommissionens tilstrækkelighedsafgørelse i forhold til databeskyttelsesforordningen. 
Læs EU-Kommissionens tilstrækkelighedsafgørelse i forhold til retshåndhævelsesdirektivet. 

Tilstrækkelighedsafgørelse om Sydkorea på vej 

I marts 2021 annoncerede EU-Kommissionen sin intention om at fremsætte et forslag til en tilstrækkelighedsafgørelse om Sydkorea efter at have været i dialog med den sydkoreanske datatilsynsmyndighed. EU-Kommissionen har konkluderet, at beskyttelsesniveauet i Sydkorea i det væsentligste modsvarer beskyttelsesniveauet i EU/EØS i medfør af databeskyttelsesforordningen. 

Derfor har EU-Kommissionen nu offentliggjort et udkast til en tilstrækkelighedsafgørelse. 

Før EU-Kommissionen kan vedtage tilstrækkelighedsafgørelsen, skal der indhentes en udtalelse fra EDPB og gives grønt lys fra Ministerrådet.

Læs EU-Kommissionens pressemeddelelse. 
Læs EU-Kommissionens udkast til en tilstrækkelighedsafgørelse om Sydkorea.  

Kort om Schrems II-dommen

Med sin afgørelse af Schrems II-dommen fastslog EU-Domstolen, at EU-US Privacy Shield-rammeaftalen var ugyldig. Samtidig skærpede Domstolen kravene til både dataansvarlige og tilsynsmyndigheder i forbindelse med en fortsat brug af EU-Kommissionens standardkontraktbestemmelser ("SCC'er") som overførselsgrundlag. 

Læs mere om Schrems II-dommen i vores nyhed Principiel EU-dom: EU-U.S. Privacy Shield erklæret ugyldig. 

EU-Kommissionens moderniserede SCC'er udfylder retligt tomrum 

SCC'er har stor betydning for dataoverførsler til usikre tredjelande. SCC'erne har indtil for nylig alligevel baseret sig på reglerne i det gamle persondatadirektiv. EU-Kommissionen har derfor vedtaget nye moderniserede SCC'er, som tager højde for forandrede regler og ny praksis ‒ blandt andet den principielle Schrems II-dom. 

De nye SCC'er regulerer overførsler af personoplysninger fra dataansvarlige og databehandlere inden for EU/EØS til dataansvarlige og databehandlere i usikre tredjelande. Dermed udfylder de SCC'er også det tomrum, der har været som følge af, at der ikke hidtil har eksisteret SCC'er, der regulerer tredjelandsoverførsler, hvor dataeksportøren er databehandler. 

De nye SCC'er indeholder en lang række ændringer og nyskabelser. De mest betydningsfulde er følgende: 

1. Ét samlet dokument fremfor tre: Dokumentet indeholder fire moduler, som kan bruges af dataeksportører afhængigt af, hvilken overførselssituation man befinder sig i. Det giver en større fleksibilitet i brugen.
2. Bredere anvendelsesområde: Det vil være muligt at bruge SCC'erne i forbindelse med dataoverførsler fra databehandlere inden for EU/EØS til underbehandlere og/eller dataansvarlige uden for EU/EØS. Der er altså fremover flere muligheder for at anvende SCC'erne.
3. Yderligere vejledning i lyset af Schrems II-dommen: Dataeksportører skal fortsat overveje behovet for supplerende foranstaltninger, når de vil benytte SCC'er. De nye SCC'er indeholder dog en vis vejledning til håndteringen af Schrems II-dommen, heriblandt en oversigt over de forskellige skridt, som virksomhederne skal tage for at efterkomme Schrems II-dommen, samt eksempler på mulige supplerende foranstaltninger.

Ændringerne svarer i vidt omfang til det udkast, som Kommissionen offentliggjorde den 12. november 2020. Læs vores nyhed om EU-Kommissionens udkast.

Samtidig vil SCC'erne ‒ særligt i forhold til Schrems II-dommen ‒ blive suppleret af EDPB's anbefalinger om at iværksætte supplerende foranstaltninger, som først for nylig er blevet vedtaget. Se omtalen heraf nedenfor.

De nye SCC'er træder i kraft den 27. juni 2021, men indtil den 27. september 2021 er det valgfrit, om man vil anvende de nye eller oprindelige SCC'er.  Har man forud for den 27. september 2021 baseret sine dataoverførsler på de oprindelige SCC'er, skal man senest den 27. december 2022 overgå til at være omfattet af de nye SCC'er eller et andet gyldigt overførselsgrundlag. Dette gælder dog ikke, hvis den underliggende behandlingsaktivitet ændrer sig i perioden fra den 27. september 2021 til den 27. december 2022. I så fald bør de nye SCC'er anvendes fra det tidspunkt, hvor ændringen er sket.

De nye SCC'er er et bedre værktøj end tidligere, men kræver stadig et arbejde at anvende. For at vurdere om virksomheden skal anvende SCC'er, kræves der først og fremmest overblik over, hvilke data der behandles og eksporteres og på hvilket grundlag. Hvis virksomhedens dataeksport sker på baggrund af SCC'er, er det hensigtsmæssigt at få lagt en plan for implementering af de nye SCC'er til både eksisterende og nye overførsler.

Læs EU-Kommissionens nye standardkontraktbestemmelser for tredjelandsoverførsler. 

EDPB's endelige anbefalinger til supplerende sikkerhedsforanstaltninger 

Det Europæiske Databeskyttelsesråd ("EDPB") har den 18. juni 2021 vedtaget en endelig version af sine anbefalinger om supplerende sikkerhedsforanstaltninger. Anbefalingerne er længeventede, idet de blev sendt i høring i november 2020 som en reaktion på Schrems II-dommen, men dog først vedtaget for nylig. Anbefalingerne har til formål at vejlede om, hvilke supplerende foranstaltninger en dataeksportør kan implementere, hvis dataeksportøren vurderer, at beskyttelsesniveauet i et usikkert tredjeland ikke er sammenligneligt med beskyttelsesniveauet inden for EU/EØS. 

Den centrale forskel på høringsversionen og den endelige version af anbefalingerne består i afsnittene vedrørende vurderingen af tredjelandets lovgivning og retssystem. En af de centrale ændringer i de endelige anbefalinger er en fremhævelse af, at dataeksportører ved vurderingen af beskyttelsesniveauet i et tredjeland ikke kun skal vurdere, om et tredjelands lovgivning formelt lever op til beskyttelsesniveauet inden for EU, men også om myndighederne i tredjelandet rent faktisk overholder lovgivningen. 

Det er ikke sikkert, at man i alle tilfælde kan implementere supplerende foranstaltninger, der sikrer et beskyttelsesniveau, der modsvarer beskyttelsesniveauet inden for EU/EØS. Der kan således opstå tilfælde, hvor det ikke vil være muligt at overføre personoplysninger til et tredjeland. 

Læs EDPB's anbefalinger om supplerende foranstaltninger. 
Læs vores nyhed om EDPB's anbefalinger om europæiske essentielle garantier. 

Principiel fransk dom om anvendelse af cloud-tjenester med koncernforbindelse til USA

En dataansvarlig som har antaget en cloud-tjenesteudbyder, der opbevarer personoplysninger på servere inden for EU, skal være opmærksom på principperne i Schrems II-dommen, hvis cloud-tjenesteudbyderen har en koncernforbindelse til et selskab, der er etableret i et usikkert tredjeland, f.eks. USA. Det har den øverste forvaltningsdomstol i Frankrig, Conseil D'Etat, slået fast.  

Sagen omhandlede en digital vaccinebookingplatform, der leveres af en privat virksomhed, som er antaget af det franske social- og sundhedsministerium. Platformsudbyderen anvender Amazon Web Services i USA som hostingtjeneste via dets luxembourgske datterselskab, AWS Sarl. De pågældende personoplysninger blev opbevaret i datacentre i Frankrig og Tyskland. Det fremgik af kontrakten mellem bookingplatformen og AWS Sarl, at de data, som AWS hostede på vegne af bookingplatformen, var krypterede, og nøglen blev opbevaret af en betroet tredjepart i Frankrig for at forhindre, at andre tredjeparter skulle få adgang til dem. Det fremgik endvidere af aftalen, at AWS var forpligtet til at bestride udleveringsanmodninger fra offentlige myndigheder. 

Klagerne i sagen argumenterede for, at det var i strid med databeskyttelsesforordningen at anvende en databehandler, hvor der var risiko for overførsel af personoplysninger til amerikanske myndigheder.

Conseil d'Etat fandt, at AWS Sarl i Luxembourg kunne blive underlagt adgangsanmodninger fra amerikanske myndigheder, selvom personoplysningerne blev opbevaret på servere inden for EU. I lyset af Schrems II-dommen var det derfor nødvendigt at kontrollere de supplerende foranstaltninger, som parterne havde implementeret for at beskytte personoplysningerne i løsningen. Efter en konkret vurdering konkluderede Conseil d'Etat, at beskyttelsesniveauet var tilstrækkeligt på grund af de supplerende organisatoriske og tekniske foranstaltninger, der var iagttaget. 

Læs Conseil d'Etat's pressemeddelelse. 

Læs afgørelsen (kun tilgængelig på fransk):