Uanset om man som virksomhed benytter en af de etablerede aktører på cloudmarkedet eller selv indgår aftale med en dataudbyder er det en god ting at sikre sig, at ens serviceleverandør har formalia i orden.

EU-dom begrænser datas frie bevægelighed

Efter en opsigtsvækkende EU-dom har alle virksomheder skærpet pligt til sikker databeskyttelse. Ellers falder den store bødehammer, hvis data opbevares i det, der nu defineres som usikkert tredjeland, f.eks. USA.

Flere steder i Europa – også i Danmark – skyder nye datacentre op som svampe på en fugtig skovbund. Argumentationen fra Apple, Microsoft, Facebook og andre af de store aktører er blandt andet, at man ønsker at være tættere på kunderne og servicere dem bedre. Blandt andet fordi virksomhederne i stadig højere grad anvender cloudløsninger. Men der kan også være en anden og mere skjult årsag til de flittige byggeaktiviteter.

Nemlig at det efter den såkaldte Schrems II dom fra EU-domstolen ikke længere er så enkelt at overføre data fra EU til eksempelvis USA. Det lægger blandt andet hindringer i vejen for de udbydere af cloudløsninger, der ikke har datacentre i et EU-land. Det er der faktisk flere af dem, der ikke har, og et eksempel på dette er Dropbox, som leverer løsninger til deling af information og dokumentation, der flittigt bruges af virksomheder.

Anbefalet: Digital ledelse i en foranderlig verden (Gratis webinar d. 25. marts kl. 15.00-15.35)

Formalia skal være i orden

Uanset om man som virksomhed benytter en af de etablerede aktører på cloudmarkedet eller selv indgår aftale med en dataudbyder er det en god ting at sikre sig, at ens serviceleverandør har formalia i orden. Det betyder ganske enkelt, at medmindre denne opbevarer data i et såkaldt sikkert tredjeland, er virksomheden forpligtet til at checke hver enkelt leverandøraftale for en række helt specifikke krav.

Problematikken startede tilbage i 2003, da en person ved navn Max Schrems i forlængelse af Edward Snowdens afsløringer af den masseovervågning, som national Security Agency (NSA) i USA stod bag, klagede til det irske datatilsyn over, at Facebook i Irland havde overført hans personlige data til Facebook Inc. Overførslen byggede på den såkaldte Safe Harbour ordning, der havde været i brug i en årrække.

Sikkerhed skal være på EU-niveau

Safe Harbour ordningen betød, at de amerikanske databehandlervirksomheder, der var omfattet af denne, blev anset for at være beliggende i et sikkert tredjeland. Men klageren – Max Schrems – mente ikke, at USA’s lovgivning om national sikkerhed var ensbetydende med, at data blev behandlet ud fra et tilstrækkeligt beskyttelsesniveau for persondata, som det kræves efter europæisk databeskyttelseslovgivning.

I forbindelse med sagens behandling ved en domstol i Irland blev sagen forelagt EU-domstolen, der i oktober 2015 erklærede Safe Harbour ordningen ugyldig. Samtidig blev det fastlået, at niveauet for beskyttelse af personoplysninger i et såkaldt usikkert tredjeland i al væsentlighed skal matche niveauet for beskyttelse af personoplysninger i EU. Dermed fik Max Schrems altså ret i sin klage til den irske Data Protection Commisioner.

Anbefalet: Digital ledelse i en foranderlig verden (Gratis webinar d. 25. marts kl. 15.00-15.35)

Lang periode med usikkerhed

Safe Harbour ordningen blev efterfølgende i 2016 erstattet af den såkaldte EU-US Privacy Shield ordning, der efter EU-Kommissionens opfattelse rettede op på nogle af manglerne. Max Screms fortsatte imidlertid sin klageproces, hvilket medførte, at EU-Domstolen i sommeren 2020 også erklærede denne for ugyldig. Siden har der hersket usikkerhed på området, men i november 2020 kom Det Europæiske Databeskyttelsesråd med en række anbefalinger.

Det betyder, at hvis data overføres til et usikkert tredjeland uden for EU/EØS, er det ikke nok at leve op til f.eks. kravene i EU-Kommisionens standardkontraktbestemmelser. Den enkelte virksomhed at sikre sig, at reglerne i det pågældende usikre tredjeland ikke underminerer databeskyttelsesreglerne i EU samt vurdere, hvilke muligheder landets myndigheder har for overvågning af EU-borgere, og om personoplysninger skal krypteres

Alle virksomheder står til ansvar

”Disse krav gælder, uanset om vi taler om, at Facebook i Irland overfører personoplysninger til Facebook i USA, eller en virksomhed selv indgår aftale med en databehandler i f.eks. USA. Hvis ikke virksomheden sørger for at undersøge importlandets regler og det eventuelle behov for supplerende foranstaltning som f.eks. kryptering, kan den stilles retsligt til ansvar”, fortæller Tina Brøgger Sørensen, der er partner i advokatfirmaet Kromann Reumert.

Hun føjer til, at overtrædelse af reglerne nemt kan blive en kostbar affære – også selvom det beror på uvidenhed eller forglemmelse. Man kan ikke altid være sikker på, det er nok at leve op til kravene i EU’s GDPR-forordning (General Data Protection Regulation), så hvis ikke virksomheden selv råder over en juridisk afdeling, er hendes gode råd, at der søges assistance hos en professionel partner.

Tags: , , , ,
Gælder stort set alle dataformer

En virksomhed skal være opmærksom på, at der ikke nødvendigvis kun stilles skærpede krav til følsomme personoplysninger. Hvis man overfører data til et usikkert tredjeland, gælder kravene til en nærmere undersøgelse af regler og sikkerhedsforanstaltning i forhold til alle former for data, der på den ene eller den anden måde kan relateres til en konkret person, f.eks. en e-mail og adresse i en kundedatabase.

Det er kun Europa Kommissionen, der kan fastslå, om et tredjeland er sikkert og dermed har et beskyttelsesniveau, der svarer til det der gælder i EU. Følgende lande er ifølge Datatilsynet i dag godkendt som sikre tredjelande:

  • Andorra
  • Argentina
  • Færøerne
  • Guernsey
  • Isle of Man
  • Israel
  • Jersey
  • New Zealand
  • Schweiz
  • Uruguay

(Kilde: Datatilsynet)