Schrems II dommen ved EU-domstolen d. 16. juli 2020. Det lyder sikkert allerede så kedeligt,
at du er på nippet til at klikke videre. Hvis du er på vej til at tage cloud-services i brug, hvor
persondata kommer til at ligge i skyen, vil vi dog opfordre dig til at læse videre. Selvom det
lyder tørt, er det temmeligt vigtigt.
Lad os starte med helt kort at ridse op, hvad dommen betyder. I sin korteste form, kan det
siges således:
Når du har persondata i en cloud-tjeneste, har du som dataansvarlig pligt til at sikre dig, at
EUs Persondataforordning (GDPR) er overholdt. Hvis leverandøren af cloud-tjenesten er fra
et tredjeland (altså udenfor EU), skal du som led i denne pligt sikre dig, at de pågældende
persondata er underlagt en beskyttelse, der er tilsvarende den, som de ville have i EU.
Dommen underkender så den aftale, der hidtil har eksisteret mellem EU og USA - den
såkaldte Privacy Shield-ordning - idet dommen siger at Privacy Shield ikke yder en
beskyttelse, der svarer til den beskyttelse, som persondata ville have haft i et EU-land.
Eller på godt dansk: Der eksisterer formentligt ikke noget lovgrundlag for at eksportere
persondata til USA, eller andre tredjelande, der ikke lever op til GDPR.
Vi vender tilbage til ordet ”formentlig.” For nu et par links, hvis du ønsker at dykke dybere
ned i baggrunden, og hvorfor dommen har den betydning, den har.
Vi har også tidligere berørt emnet her på Netics blog: Sådan får en Østrigsk aktivist indflydelse på din it-strategi
Implikationer
Men hvad betyder det så? Hvad er de reelle implikationer af dommen for virksomheder og
organisationer i Danmark – på kort og på langt sigt?
Lad os starte med det positive. Hvis du har cloud-tjenester i brug med persondata, og
tjenesten blev taget i brug inden dommen faldt – altså inden d. 16/7 2020, er du efter al
sandsynlighed i god tro, og behøver ikke at foretage dig det store lige nu.
Det betyder ikke, at du er compliant. Det betyder bare, at du nok ikke skal ligge søvnløs ved
tanken om, at Datatilsynet banker på din dør i morgen.
Det var det positive.
Lad os gå videre til den lidt alvorligere afdeling:
Hvis du har planer om at tage en cloud-tjeneste med persondata i brug i den nærmeste
fremtid, er du formentlig i ond tro, og risikerer således en straf, jf. reglerne i GDPR, som er
udmøntet i Persondataloven.
Der var ordet ”formentlig” igen, så lad os benytte lejligheden til at tale om det.
Udfordringen lige nu er, at Schrems II dommen endnu ikke har fundet anvendelse i dansk
retspraksis. Det er datatilsynet, der er den ansvarlige myndighed og regeringen i form af
justitsministeren, der i sidste ende er ansvarlig for dommens implementering i dansk ret.
For nuværende har Datatilsynet ikke meldt ud, hvorledes Danmark forholder sig til
dommen, og derfor er vi nødt til at tage visse forbehold. Norge er dog ofte foregangsland på
persondataområdet, og de norske myndigheder har allerede meldt ud, at hvis man for
nuværende eksporterer persondata til USA eller andre tredjelande, der ikke lever op til GDPR, er man i ond tro.
Derfor ordet formentlig.
Men hvad kommer der så til at ske?
Lige nu ved ingen, hvad der kommer til at ske. Derfor står vi i en meget usikker situation.
Fra Netics side kan vi jf. ovenstående ikke anbefale at man – som situationen er lige nu –
eksporterer persondata til USA eller andre tredjelande, der ikke lever op til GDPR, da dette vil være forbundet med en ikke ubetydelig risiko.
Men det er lige nu. Hvad med om tre måneder? Om seks måneder?
Det kan siges ret kort: Nogen skal ændre noget, hvis situationen skal løses.
-
- Enten skal EU lempe reglerne, ved enten at omstøde dommen eller ved at implementere ændringer i GDPR.
- Alternativt skal USA ændre lovgivningen, således at Privacy Shield kommer til at yde tilsvarende beskyttelse som hvis persondata var i EU.
- Eller også skal udbyderne af cloud-tjenester sikre, at persondata i disse tjenester yder samme beskyttelse som hvis de var omfattet af EU lovgivning.
Lad os lige starte bagfra, med punkt tre:
For kan en cloududbyder – eksempelvis Amazon Web Services eller Microsoft Azure – ikke bare oprette datacentre i Danmark og så er vi ude over problemet? Eller kan man ikke bare vælge ”EU Region” i AWS og så er jeg sikker på at data opbevares i Europa?
Desværre er det ikke så let. For persondatas fysiske placering ændrer ikke på den
grundlæggende problemstilling: At cloud-udbyderen er underlagt (i dette tilfælde)
amerikansk lov.
Med hensyn til punkt 1 og 2 i ovenstående liste, ser det ikke umiddelbart bedre ud. EU har
ingen tradition for at ændre regler for at imødekomme de store amerikanske tech-
selskaber. Snarere tværtimod.
Med hensyn til USAs vilje til at ændre lovgivningen, kan det også have lange udsigter. Det
springende punkt er USAs Foreign Intelligence Services Act, Section 702. Det var den samme
paragraf, der kom i vælten i forbindelse med Edward Snowdens læk af Prism-programmet i
2013, og de største amerikanske tech-selskaber har i årevis lobbyet myndighederne i USA
for en ændring af den omtalte paragraf. Indtil videre uden held.
Spørgsmålet er så bare, hvor det efterlader dig og andre danske virksomheder? Kan man
slet ikke anvende cloud-tjenester længere?
Hvad er vejen frem?
Det vi ved lige nu er, at der formentlig ikke er noget lovgrundlag for eksport af persondata til
USA. Det lovgrundlag ser heller ikke ud til at komme på plads inden for en overskuelig
fremtid.
Det betyder dog ikke, at du nu skal til at stoppe med at anvende cloud. Du skal blot gøre det
på en måde, der sikrer, at du lever op til gældende regler.
Hos Netic er vi for nuværende driftsoperatør på en række tjenester, der i overensstemmelse
med reglerne, er baseret delvist på cloud-tjenester fra tredjelande, og som samtidigt også
efterlever Schrems II dommen.
Som skrevet ovenfor kan vi ikke anbefale, at du eksporterer persondata til amerikanske leverandører lige nu. Men vi rådgiver gerne om både de juridiske aspekter samt de tekniske aspekter af en løsning, der giver dig mulighed for at gå videre med dine planer – og som samtidigt overholder reglerne.