Notat om Schrems II

By 
Henning Mortensen
November 12, 2020

Her gennemgår vi de trin, som eksportører af data skal igennem, når personoplysninger overføres til lande uden for EU under anvendelsen af EU Kommissionens standardkontrakter.

EDPBs anbefalinger bl.a. om supplerende foranstaltninger til standardkontrakterne ved tredjelandsoverførsler i lyset af Schrems II-dommen

Denne artikel har til formål at gennemgå de trin, som dataeksportører skal igennem, når de eksporterer personoplysninger ud af EU under anvendelse af kommissionens standardkontrakter. Artiklen gennemgår de anbefalinger, som EDPB har opstillet i Recommendation 01/2020 og 02/2020. Anbefalingerne er i offentlig høring, og artiklen vil blive opdateret i takt med, at vi bliver klogere på de konkrete anbefalinger, og at dokumenterne evt. bliver opdateret som følge af høringen.

Kort baggrund

Baggrunden for sagen er, at EU-Domstolen i den såkaldte Schrems II-sag igen fastslog, at den beskyttelse som personoplysninger nyder godt af inden for EU, skal følge oplysningerne, uanset hvor i verden de befinder sig. Det betyder, at de registreredes rettigheder fra Det Europæiske Charter og Databeskyttelsesforordningen også skal følge personoplysninger, når de forlader EU – f.eks. for at blive behandlet i en cloud tjeneste. 

Med baggrund i ovenstående gjorde EU-Domstolen Privacy Shield som overførselsmekanisme ugyldig. EU-Domstolen sagde desuden, at EU Kommissionens standardkontrakter kunne anvendes som overførselsgrundlag. MEN: hvis importlandet ikke kunne give de registrerede rettigheder, som er ækvivalente til det, som kan opnås inden for EU, skal de suppleres med ekstra foranstaltninger. Dermed er standardkontrakterne med Dr. Soloves ord ”in coma on life support”.

De nye udtalelser fra EDPB handler om, hvad disse anbefalede foranstaltninger kan bestå af, og hvordan den dataansvarlige som eksportør kan fastslå, om en påtænkt eksport kan finde et retligt grundlag. Kan der ikke tilvejebringes passende foranstaltninger, bør eksporten ophøre. Det betyder, at man så f.eks. ikke kan anvende en given cloud tjeneste.

Schrems II-dommen og anbefalingen fra EDPB er kulminationen af et årelangt retsopgør, der startede tilbage i 2013. Den historiske baggrund gennemgås til sidst i denne artikel.

EDPBs roadmap

Når man behandler personoplysninger, skal man finde et retligt grundlag for behandlingen i artikel 6 i databeskyttelsesforordningen eller i national ret, hvis særlige omstændigheder gør sig gældende (f.eks. CPR-nummer, jf. Databeskyttelseslovens § 11). Hvis man eksporterer oplysninger, f.eks. ved at bruge en cloudtjeneste, skal man desuden finde hjemmel til selve eksporten af personoplysningerne. Man skal altså have en dobbelt-hjemmel. Det er den dataansvarlige som eksportør, der skal kunne påvise ansvarlighed ved at have gennemløbet nedenstående roadmap for kortlægningen af eksport af personoplysninger. 

EDPB opstiller i Recommendation 2020/1 en procesmodel for vurdering af, om en påtænkt dataeksport (f.eks. brug af en cloudtjeneste) kan finde et retligt grundlag.

EDPBs procesmodel for foranstalninger har seks trin:
  1. Kortlæg tredjelandsoverførsler
  2. Kortlæg det retlige grundlag som overførslen baseres på
  3. Kortlæg lovgivningen i det tredjeland, der skal modtage personoplysningerne
  4. Identificér supplerende foranstaltninger
  5. Skab formel sammenhæng mellem overførselsmekanismen og de identificerede supplerende foranstaltninger
  6. Løbende evaluering

Herunder uddybes indholdet for hvert enkelt punkt i modellen:

  1. Kortlæg tredjelandsoverførsler
    Alle overførsler af personoplysninger til tredjelande skal kortlægges. Baggrunden er, at for at fastslå om de essentielle garantier, som de registrerede gives i EU, er opfyldt i et tredjeland, så skal man vide, hvilket tredjeland personoplysningerne eksporteres til. Tredjelande er alle lande udenfor EU/EØS.

  2. Kortlæg det retlige grundlag som overførslen baseres på
    Det skal kortlægges, hvilken overførselsmekanisme man har tænkt sig at anvende i databeskyttelsesforordningens kapitel 5. Her er der flere muligheder:

    EU Kommissionen har efter artikel 45 mulighed for at beslutte (adequacy decision), at visse lande (eller sektorer i disse lande) er såkaldt sikre tredjelande. Denne beslutning tages af Kommissionen efter en nøje analyse. Pt. er landene på denne liste sikre tredjelande. Privacy Shield, som blev erklæret ugyldig af EU-Domstolen, var vedtaget som en artikel 45-beslutning.


    Hvis overførslen ikke sker til et sikkert tredjeland, må man anvende nogle af de mekanismer som følger af artikel 46. Her finder vi EU Kommissionens Standardkontrakter og De Bindende Virksomhedsregler. I praksis er der særlig stor interesse for at overføre personoplysninger til USA eller til datacentre i EU, som drives og supporteres af selskaber etableret i USA. Typisk vil overførsel i denne kontekst, efter at Privacy Shield blev erklæret ugyldig, ske via en af mekanismerne efter artikel 46.

    Ved lejlighedsvise og ikke-gentagne overførsler i særlige situationer, kan artikel 49 anvendes som retligt grundlag for overførsel. Artikel 49 skal ses som en undtagelsesbestemmelse og kan f.eks. anvendes i forhold til varer, der købes af europæiske borgere i et tredjeland.

  3. Kortlæg lovgivningen i det tredjeland, der skal modtage personoplysningerne
    Dataeksportøren skal kortlægge den lovgivning i tredjelandet, som har betydning for de garantier personoplysningerne er underlagt i EU - tillige med lovgivning, der kan have betydning for overførselsmekanismens effektivitet i forhold til at beskytte den registrerede.
    Grundlæggende skal importlandet kunne efterleve de essentielle garantier som EDPB definerer i Recommendation 2/2020. I særdeleshed skal der lægges vægt på, om der i importlandet findes regulering, er uklar regulering eller ikke-offentlig tilgængelig regulering, der giver mulighed for, at myndigheder kan tilgå personoplysningerne (f.eks. i forbindelse med overvågning). Hvis der ikke findes tilgængelig regulering, skal det vurderes, om der kan identificeres andre objektive faktorer, som kan bruges til at fastlægge, om det retlige grundlag kan anvendes. Der må ikke lægges vægt på statistikker om faktisk udlevering af personoplysninger til myndighederne. Denne kortlægning, som danner grundlag for beslutningen af, om eksport kan finde sted eller ej, skal dokumenteres og kunne anvendes, hvis der opstår tvister.

    De essentielle garantier er afledt af Charteret artikel 7 (respekt for privatliv og familieliv), 8 (beskyttelse af personoplysninger), 47 (adgang til effektive retsmidler og til en upartisk domstol) og 52 (rækkevidde og fortolkning af rettigheder og principper). De essentielle garantier skal indgå i evalueringen, men er ikke i sig selv tilstrækkelige. Det er også irrelevant, om de eksporterede data faktisk er blevet tilgået af tredjelandes myndigheder. Det afgørende er, om disse myndigheder havde mulighed for det. Artikel 7 og 8 er ikke absolutte, men skal tværtimod underlægges en proportionalitetsvurdering, jf. artikel 52.
    Det er denne proportionalitetsvurdering, EU Domstolen har medvirket til at foretage og præcisere: nemlig, at hvis der skal ske en afvigelse fra garantierne, så skal det ske på baggrund af klare regler med et klart og afgrænset formål. Proportionalitetsvurderingen må ikke gå længere, end hvad der er absolut nødvendigt for at forfølge dette formål, så de registrerede er beskyttet mod et eventuelt misbrug – særligt hvor der sker en automatisk behandling af informationer.

    De fire essentielle garantier omfatter:

       - Behandlingen skal baseres på klar, præcis og gennemsigtig regulering
       - Behandlingen skal være nødvendig og proportional og følge legitime formål
       - Det er nødvendigt, at der er en uafhængig myndighed, som fører tilsyn med behandlingen (f.eks. i form af masseovervågning) - og som har adgang til alle relevante sagsakter og i øvrigt kan vurdere, hvorvidt behandlingen er begrænset til, hvad der er strengt nødvendig.
       - Den registrerede skal have adgang til at få prøvet sine rettigheder ved en domstol

    Reguleringen i importlandet skal altså som minimum vurderes efter disse fire garantier. I praksis er det centralt i vurderingen at kortlægge, om der finder masseovervågning sted i importlandet. EU-Domstolen har lagt stor vægt på Snowden-afsløringerne af USA's masseovervågning – særligt PRISM og Upstream-programmerne. EU-Domstolen har således allerede vurderet, at USA ikke lever op til de fire essentielle garantier.

  4. Identificer supplerende foranstaltninger
    Hvis analysen i Step 3 viser, at importlandet ikke kan leve op til de fire essentielle garantier ved brug af en artikel 46-mekanisme til eksport af oplysningerne, skal mekanismen suppleres med flere foranstaltninger, indtil eksportøren kan garantere et ækvivalent beskyttelsesniveau. Der skal altid foretages en konkret vurdering af, hvilke supplerende foranstaltninger, der kan være relevante, alt efter hvilket land man ønsker at eksportere til.


    Det er relevant at notere sig, at EDPB KUN peger på artikel 46-mekanismer. Man må derfor lægge til grund, at det ikke er nødvendigt at gøre sig overvejelser om supplerende foranstaltninger ved eksport til sikre tredjelande efter artikel 45 - i hvert fald ikke førend disse evt. er blevet underkendt som sikre af EU-Domstolen.

    EDPB giver en ikke udtømmende liste af forslag til, hvilke supplerende foranstaltninger, som dataeksportøren kan anvende. Det er især denne liste, som har været afventet med spænding, da den indikerer, i hvilket omfang cloud computing i praksis er muligt i fremtiden.

    EDPB peger på tre typer af supplerende foranstaltninger:

    Tekniske foranstaltninger

    De tekniske foranstaltninger skal adressere både personoplysninger in transit (opsnapning fra kabler og netværk) og personoplysninger at rest (opsnappet fra datacentre med eller uden importørens medvirken). EDPB peger på både foranstaltninger, hvor eksport er mulig, og på situationer hvor det må forventes, at eksport ikke er mulig:

    I. Supplerende foranstaltninger under de tekniske foranstaltninger, der kan muliggøre eksport:

    a. Kryptering
    Personoplysningerne krypteres INDEN de forlader eksportøren, og krypteringen er stærk og robust, vurderes at kunne holde i den periode det er relevant at bevare oplysningernes fortrolighed, algoritmerne er implementeret uden fejl, og softwaren vedligeholdes, nøglehåndteringen følger best practise, og nøglerne kontrolleres fuldstændigt af eksportøren.

    Hvis importøren kan efterleve de essentielle garantier, men personoplysningerne rejser gennem et usikkert tredjeland, skal krypteringen holde under transporten.

    b. Pseudonymisering
    Personoplysninger pseudonymiseres inden eksport, således at ingen registrerede kan identificeres eller udpeges, den supplerende information som i kombination med de pseudonymiserede oplysninger kan føre til re-identifikation opbevares i EU, den supplerende information beskyttes efter best practise, og eksportøren har foretaget en analyse, som viser at myndigheder i importlandet ikke kan kombinere de pseudonyme oplysninger med andre data (f.eks. tid, lokation eller tekniske oplysninger om terminalen) med henblik på re-identifikation.

    c. Beskyttet dataimportør
    Hvis dataimportøren specifikt er beskyttet af regulering, der forhindrer myndighedernes aflytning (f.eks. en læge eller en advokat); herunder kompromittering af importørens sikkerhedsforanstaltninger, importøren ikke behandler personoplysningerne i tjenester, som myndighederne kan aflytte (f.eks. en it-serviceprovider), oplysningerne er krypteret i transit, det kun er importøren som kan dekryptere dem, og at nøgleparrene matcher.

    d. Opdelt behandling
    Hvis dataeksportøren har opdelt personoplysningerne i flere dele med henblik på at behandle oplysningerne i forskellige jurisdisktioner, og ingen af importørerne er i stand til - på baggrund af de personoplysninger de modtager - at identificere eller udpege de registrerede. Konkret kan dette lade sig gøre med teknologien secure multiparty computation, hvor en flerhed af databehandlere foretager behandlinger på krypterede data uden selv at kunne bruge data til noget (i betydningen 'identificere').


    II. Situationer hvor eksport formodentlig IKKE vil være muligt i henhold til de tekniske foranstaltninger:

    a. Hvis dataimportøren (f.eks. i form af en cloud service) har brug for at behandle personoplysningerne i klar tekst – også selv om de er krypteret in transit og krypteret ved lagring uden anden behandling.

    b. Hvis eksportøren og importøren er forbundet, f.eks. i en koncern, og importøren er placeret i et usikkert tredjeland, så er kryptering in transit og at rest ikke tilstrækkeligt, hvis importøren tilgår personoplysningerne i klar tekst.

    Kontraktuelle foranstaltninger

    Generelt kan kontrakter binde parterne på forskellig vis, bl.a. til at implementere, overholde og vedligeholde tekniske og organisatoriske supplerende foranstaltninger. Dog kan de kontraktuelle foranstaltninger ikke binde importlandets myndigheder, som ikke er en del af kontrakten, og som ofte handler på baggrund af importlandets regulering. De kontraktuelle foranstaltninger kan derfor formodentlig kun være et supplement til øvrige foranstaltninger. EDPB peger på, at det kontraktuelle supplement kan være relevant i følgende situationer:

    - Kontrakten skal binde importøren til bestemte supplerende, tekniske foranstaltninger
    - Kontrakten skal binde importøren til at oplyse om myndighedernes eventuelle adgang til eller forsøg på adgang til personoplysninger – herunder oplyse, efter hvilken lovgivning myndighederne kan få adgang, importørens erfaring med myndighedernes adgang, og om importøren er juridisk bundet til at udlevere oplysninger til myndighederne
    - Kontrakten skal binde importøren til ikke med vilje at have indbygget bagdøre m.v.
    - Kontrakten skal binde importøren til at tillade audits og levering af logs
    - Kontrakten skal binde importøren til at oplyse om ændringer af de regler, de er underlagt
    - Kontrakten skal binde importøren til at attestere, at de ikke har udleveret oplysninger til myndighederne
    - Kontrakten skal binde importøren til at udfordre krav fra myndighederne om udlevering af personoplysninger
    - Kontrakten skal binde importøren til at oplyse myndighederne om, at udlevering af personoplysninger vil være i strid med databeskyttelsesforordningens artikel 46 og samtidig oplyse eksportøren og det datatilsyn, som den registrerede hører under
    - Kontrakten skal binde importøren til at indhente samtykke fra den registrerede til at måtte tilgå vedkommendes personoplysninger (f.eks. i supportsager)
    - Kontrakten skal binde importøren til at oplyse den registrerede ved udlevering af personoplysninger til myndighederne
    - Kontrakten skal binde importør og eksportør til at hjælpe den registrerede med at udøve sine rettigheder

    Organisatoriske foranstaltninger

    De organisatoriske foranstaltninger kan bestå af interne politikker og procedurer – herunder f.eks. hvordan eksportøren laver risikovurderinger og håndterer hændelser relateret til importørlandets myndigheders tilgang til personoplysninger. De organisatoriske foranstaltninger skal ses som supplement til de tekniske og kontraktuelle foranstaltninger og kan næppe i sig selv sikre ækvivalente garantier.

    De organisatoriske foranstaltninger relaterer sig til:

    - Politikker for ansvarsfordeling – f.eks. indenfor en koncern
    - Dokumentation af henvendelser fra importlandets myndigheder og disses anmodning om udlevering af personoplysninger
    - Løbende rapportering af myndighedernes henvendelser
    - Minimering af, hvilke oplysninger myndighederne kan få udleveret
    - Betimelig inddragelse af DPO og tilsvarende i sager, der vedrører overførsel til tredjelande
    - Anvendelse og efterlevelse af standarder og codes of conduct
    - Løbende gennemgang og godkendelse af politikker og procedurer
    - Forpligtelser på importøren til ikke at videregive eller overlade personoplysninger til andre aktører

  5. Skab formel sammenhæng mellem overførselsmekanismen og de identificerede supplerende foranstaltninger
    Tanken er her, at alt efter, om der anvendes Kommissionens standardkontrakter, bindende virksomhedsregler eller ad hoc kontrakter, skal de identificerede supplerende foranstaltninger formelt bindes op på den valgte mekanisme. Man kan forstille sig, at foranstaltningerne er forskellige fra mekanisme til mekanisme.

  6. Løbende evaluering
    Med passende mellemrum skal det evalueres, om den valgte overførselsmekanisme (evt. med supplerende foranstaltninger) fortsat kan udgøre et retligt grund for overførsel af personoplysninger til usikre tredjelande. Der betyder bl.a., at man skal overvåge udviklingen i regelgrundlaget for myndighedernes adgang til personoplysninger samt den praktiske anvendelse af overvågningsteknologier i de pågældende tredjelande.

Konklusion

Når man gennemløber EDPBs roadmap tager man stilling til, om der kan foretages en tredjelandsoverførsel af data på et lovligt retligt grundlag, og under hvilke omstændigheder – medtaget supplerende foranstaltninger – en sådan overførsel kan finde sted.
Konkluderer man, at der ikke kan gennemføres en tredjelandsoverførsel på et lovligt, retligt grundlag, med de tekniske foranstaltninger nævnt i denne artikel, eller tekniske foranstaltninger, som man selv finder vil resultere i en passende ækvivalens – skal overførslen ikke iværksættes eller ophøre.

Historisk baggrund for EDPBs anbefalinger

Tilbage i 2013 stod whistlebloweren Edward Snowden frem med tusindvis af dokumenter, som afslørende en omfattende, global masseovervågning foretaget af den amerikanske efterretningstjeneste NSA. Afsløringerne omfattede bl.a. PRISM-programmet, som tappede data fra store amerikanske it-service providere, FAIRVIEW-programmet, som sikrede adgang til data fra amerikanske teleudbydere, UPSTREAM-programmet, som tappede data fra fiberoptiske kabler, XKEYSCORE-programmet, som blev anvendt til at søge på tværs af de opsamlede data, BOUNDLESS INFORMANT, som analyserede de opsamlede data med kunstig intelligens og visualiserede opsamlingen og BULLRUN-programmet, som blev anvendt til at bryde kryptering.

Afsløringerne skabte debat overalt i verden – herunder hos nogle af USA's nærmeste allierede. I Europa var der således også en del politisk kritik af de amerikanske tiltag. Debatten var med til – i hvert fald i øjeblikket - at svække tilliden til amerikanske tjenesteudbydere, som behandle personoplysninger om europæere. 

Som en symbolsk reaktion på afsløringerne, klagede den østrigske jura-studerende Max Schrems over Facebook ved det irske datatilsyn. Hans påstånd var, at Facebook Ireland overførte hans personoplysninger til Facebook Inc i USA, og at han dermed blev offer for masseovervågning i strid med Den Europæiske Unions charter om grundlæggende rettigheder (artikel 7 og 8, og de persondataretlige regler i form af databeskyttelsesdirektivet 95/46/EU).

Det irske datatilsyn afviste sagen, fordi det overførselsgrundlag, som Facebook på daværende tidspunkt anvendte, var Safe Habour. Det var baseret på en artikel 45 beslutning (2000/520/EC), som tilsynet ikke havde myndighed til at tilsidesætte. Max Schrems forelagde derfor i stedet sagen ved den irske domstol, som henviste en række spørgsmål til EU-Domstolen. I 2015 ved dom C-362/14 (Schrems I), blev beslutning 2000/520/EC gjort ugyldig med henvisning til USA's masseovervågning og den deraf følgende manglende beskyttelse af den registreredes rettigheder, som fastslået i EU's charter.
Facebook og mange andre ændrede herefter overførselsgrundlag til Kommissionens standardkontrakter (en artikel 46 beslutning, 2010/87/EU) og overførslen af personoplysninger til USA fortsatte.

På baggrund af dommen blev der indledt forhandlinger mellem EU Kommissionen og FTC i USA, med henblik på at tilvejebringe et nyt overførselsgrundlag i form af en ny artikel 45-beslutning, som tog højde for EU-Domstolens afgørelse.

Sideløbende behandlede artikel 29-gruppen (forgængeren for EDPB) EU-dommen, og formulerede fire essentielle garantier, som burde betænkes i en eventuel ny aftale og artikel 45 beslutning. De fire garantier blev offentliggjort som WP 237, bl.a. gengivet i Betænkning 1565, p.636. Garantierne er grundlæggende de samme som angivet ovenfor og re-vitaliseret i EDPBs Recommendation 2020/2.

EU Kommissionen og FTC lavede derfor en ny aftale om overførsel af personoplysninger til USA kaldet Privacy Shield (beslutning 2016/1250, en ny artikel 45-beslutning), hvor man havde taget højde for EU domstolens synspunkter i Schrems I dommen.
Debatten i USA havde ført til begrænsninger af masseovervågningen i form af E.O. 12333 om overvågning af søkabler og PPD-28 om målretning af efterretningsaktiviteterne, dog uden at eliminere masseovervågninger. Med Privacy Shield blev der derfor også indført en ombudsmand, hvortil europæiske borgere kunne klage over behandling af deres personoplysninger i USA. Videre blev der foretaget justering af EU Kommissionens standardkontrakter (beslutning 2016/2297). 

Max Schrems var dog ikke tilfreds med, at hans personoplysninger fortsat blev overført til USA. Han lagde derfor sag an ved det irske datatilsyn, hvor standardkontrakterne blev udfordret som overførselsgrundlag, igen med baggrund i masseovervågningen. Da Privacy Shield blev vedtaget, blev klagen udvidet til også at omfatte denne.
Belært af proceduren fra den første sag, og fordi Privacy Shield var en artikel 45 beslutning, som det irske datatilsyn ikke kunne underkende, lagde det irske datatilsyn herefter sag an i 2018 ved den irske domstol mod Facebook og Max Schrems. Sagens formål var, at den irske domstol således kunne foretage en ny præjudiciel forelæggelse for EU-Domstolen.

Den 16. juli 2020 faldt der dom i C-311/18 (Schrems II), hvor Privacy Shield blev kendt ugyldig og standardkontrakterne overlevede som overførselsgrundlag. Kravet til kontrakterne var dog, at de ikke kan bruges ukritisk, men skal ledsages af en vurdering af sikkerheden for Charterets garantier i tredjelandet samt evt. supplerende foranstaltninger, hvis tredjelandet må anses som usikkert. Afgørelsen tog igen udgangspunkt i manglende mulighed for domstolsprøvelse (ombudsmanden var ikke tilstrækkelig uafhængig) samt fortsat masseovervågning (bl.a. i henhold til FISA, sektion 702).
Domstolen har således lavet arbejdet med vurdering af tredjelandet USA, og vurderet, at USA ikke opfylder de essentielle garantier.

Der overføres fortsat personoplysninger fra Facebook Ireland til Facebook Inc., og det retlige grundlag er nu efter sigende skiftet til artikel 49. Videre køres der en retssag mellem Facebook og det irske datatilsyn om, hvorvidt Tilsynet kan pålægge Facebook at stoppe overførslen.
Max Schrems har ønsket, at Schrems II-afgørelsen skulle få praktisk virkning og har derfor gennem organisationen NOYB anlagt 101 sager om overførsler ved alle de forskellige europæiske datatilsyn. Med de nye Recommandations fra EDPB må det antages, at der i det mindste - når høringsfristen er udløbet - kan træffes afgørelse i disse sager, og dermed vil der foreligge en betydelig mængde retspraksisser, som viser under hvilke omstændigheder, der kan ske lovlige tredjelandsoverførsler til USA. For de dataansvarlige er det værd at afvente, om der sker væsentlige ændringer i Recommandations i løbet af høringsperioden.

Et par afsluttende politiske betragtninger

Jeg kan ikke undlade at komme med et par politiske betragtninger på problemstillingen. Disse står helt for egen regning (ligesom ovenstående), og skal ikke tages som udtryk for min arbejdsgiver, RfDS, eller andres holdning.

Schrems II-dommen invaliderer ikke fremmede landes overvågning. Hvis overvågningen er proportional i forhold til det, der kan forventes af et demokratisk samfund, hvor det også er en rettighed at være beskyttet mod kriminalitet, kan man godt eksportere personoplysninger til et sådant land. Problemet med USA er, at overvågningen har karakter af masseovervågning, og dermed ikke er proportional. I sit Charter har EU dermed fundet en balance mellem de forskellige rettigheder individerne gives.

Det kan forekomme paradoksalt, at der gøres så meget ud af beskyttelsen af de registreredes rettigheder, som illustreret ved ovenstående forløb og ved de omfattende krav, der fremadrettet stilles til den dataansvarlige eksportør, når det samtidig kommer for en dag, at FE tilsyneladende - jf. TETs afsløringer - har tilladt, at der tappes ind i den danske infrastruktur, hvor der opsamles og overføres personoplysninger til den amerikanske efterretningstjeneste. Det skal blive interessant at følge (hvis det nogen sinde bliver offentliggjort), i hvilket omfang, der er blevet overført personoplysninger om danskere, og om det er sket på et lovligt grundlag.

Der er ikke nogen tvivl om, at den Recommendation, der nu er kommet, vil gøre cloud computing betydeligt vanskeligere og i en række situationer umulig, med deraf følgende øgede omkostninger til digitalisering. Der kommer med andre ord en helt konkret pris på at opretholde de rettigheder, som Charteret giver europæiske borgere. 

Hvis der ikke findes flere supplerende foranstaltninger end dem EDPB har identificeret, vil vi formodentlig gå nogle år i møde, hvor det ikke er muligt at beskytte de registreredes rettigheder efter artikel 32 lige så godt som ECPB's Recommendation. Dette skyldes, at rigtig mange af de teknologiske sikkerhedsforanstaltninger, som er etableret hos europæiske dataansvarlige, har deres oprindelse i USA (ingen nævnt, ingen glemt, og ingen trademarks krænket). Her sker der en analyse af og filtrering af data, mails, logs m.v. på servere i USA - eller med adgang fra USA - med support for øje til servere i europæiske datacentre.

Første problem er, at vi udelukkes fra at bruge disse tjenester, så skal vi sadle om og bruge nogle andre tjenester, som måske er dårligere. Andet problem er, at mange af de tjenester vi bruger, leverer en suite af sikkerhedstiltag, der spiller sammen. Hvis vi skal ud og skifte til flere forskellige leverandører, stiger den teknologiske kompleksitet betydeligt, med øget risiko for (vores organisationer og) de registrerede til følge. For det tredje er det ikke sikkert, at den nye forretningssoftware vi skal ud og finde, spiller lige så godt sammen med de sikkerhedsprodukter, vi bruger i dag. Dette vil yderligere bidrage til at øge kompleksitet og risici. 

Den frygt vi i EU har for masseovervågning fra USA synes også at være til stede i USA i forhold til Kina. Der har i USA i de senere år været en stigende kritik af kinesiske hard- og softwareudbydere (ingen nævnt, ingen glemt) for at indsamle personoplysninger om og profilere amerikanske statsborgere. Videre har vi set Californien etablere lovgivning, som skal beskytte personoplysninger. Måske kunne man forestille sig - ad åre - at amerikansk lovgivning kunne tilnærme sig europæiske lovgivning på dette punkt. Man skal heller ikke glemme, at USA er medlem af OECD, og dermed er de ikke ubekendt med de fundamentale databeskyttelsesprincipper, som går igen i OECDs guidelines. Måske en from drøm.

Endelig er det bestemt også værd at nævne, at det kunne være en mulighed, at cloud-udbyderne ændrer forretningsmodel og i stedet benytter sig af europæiske udbydere til deres cloudtjenester. På denne måde kunne der etableres en europæiske cloud på tværs af EU-landene med de software-tjenester vi kender i dag, og hvor alle bånd til de amerikanske moderskibe er klippet. Det bliver en dyrere cloud end vi kender i dag, men det bliver helt sikkert ikke lige så dyrt, som hvis vi skal gennemføre ovenstående analyser for alle mulige lande og for alle mulige tjenester og betale bøder, hver gang vi vurderer forkert.
Måske endnu en from drøm om en løsning.

Links

EDPSs Recommendation 2020/1 om supplerende foranstaltninger

EDPBs Recommendation 2020/2 om essentielle garantier

IAPPs første artikel om EDPS’ recommendations

EU's Charter om fundamentale rettigheder

Schrems II dommen

IAPPs omfattende artikel-samling om hele forløbet

Dr Solove om Schrems og SCC, ”SCC er i come med lifesupport”

Vil du have flere artikler og opdateringer om alt fra persondata, privacy, data governance til risikovurderinger?

Så gør som mere end 3000 andre og abonnér på Wired Relations' nyhedsbrev, der udsendes cirka én gang om måneden

Tilmeld dig Wired Relations' newsletter

Er du mere til podcasts, kan vi naturligvis også levere nyt direkte i dine øregange her

Gå til Wired Relations' podcast "Sustainable Compliance"

Flere blogs indenfor området

Se alle blogs

Reflektioner fra Privacy Space Live: Lovgivning er vigtig - andre ting betyder mere

NIS2 for begyndere: 10 spørgsmål og svar om cyberdirektivet og dets betydning

Stor enighed: Dem der allerede arbejder med en ISO standard er godt klædt på til NIS2