Så kom anbefalingerne til tredjelandsoverførsler - Henning Mortensen gennemgår dem

By 
Henning Mortensen
June 22, 2021

Henning Mortensen gennemgår anbefalingerne til de nye SCC-regler for overførsel af personoplysninger til tredjelande (tredjelandsoverførsler). De nye regler blev lanceret i juni 2021. Her gennemgår Henning, hvad du skal vide om SCC, efter GDPR blev vedtaget og EU-Domstolens afgørelse af Schremms II-sagen i 2020.

Hvor står vi med tredjelandsoverførsler?

Juni 2021 har bragt os tættere på at forstå den virkelighed, som vores tredjelandsoverførsler af personoplysninger befinder sig i, efter CJEU (EU-domstolen) afsagde dom i Schrems II-sagen i juli 2020. Den 11. juni i år fik vi de nye SCC (Standard Contractual Clauses), som har været ventet siden GDPR blev vedtaget, og den 21. juni offentliggjorde EDPB (Det Europæiske Databeskyttelsesråd) Recommendation 01/2020, som har været i offentlig høring siden november 2020, og som blev vedtaget den 18. juni.

Konklusionen

Nedenfor vil jeg kort komme med nogle betragtninger på de endelige dokumenter, der er nævnt ovenfor.

Men forinden en opsummering af konklusionen:
I min optik har vi ved overførsler fra dataansvarlige i EU (dataeksportører) til databehandlere uden for EU (data importører) i hvert fald følgende scenarier at se frem til:

1. Situationen uden en tredjelandsoverførsel
Den situation, som vil skabe mindst arbejde (og bøvl) - og som formodentlig er den mest langtidsholdbare; er den, hvor vi som dataansvarlige slet ikke instruerer vores databehandler i en tredjelandsoverførsel. Udtryk således, at


- hvis en databehandler har hovedkvarter uden for EU, men har etableret sig i EU, samt
- garanterer, at PII (Personally identifiable information - personoplysninger) bliver i datacentre inden for EU,
- ikke serviceres af databehandlerens medarbejdere uden for EU, af underdatabehandlere uden for EU,
- eller på anden måde kan komme udenfor EU (og overførslen i øvrigt ikke er krævet af national ret eller EU retten),

...så instruerer databehandleren ikke i en tredjelandsoverførsel, og vi skal slet ikke til at overveje et overførselsgrundlag efter kapitel V.


Vi kan derfor lave en vurdering efter artikel 28, stk. 1 af, om databehandleren kan stille de fornødne garantier for, at forordningen er overholdt. Det er sådan set en risikovurdering af databehandleren, hvor man ser på risici for følgende punkter:

- at databehandleren bliver hacket,
- risici for, om databehandleren forbryder sig mod artikel 48 (tredjelands domstol påbyder databehandleren at udlevere PII)
- at databehandleren overfører PII i modstrid med EU-retten og aftalen med den dataansvarlige,
- samt risici for, at databehandleren bliver ramt af ransomware.

2. Situationen med tredjelandsoverførsel efter artikel 45 eller 49
Vi kan som nu overføre personoplysninger til de sikre tredjelande EU Kommissionen har godkendt efter artikel 45.
Der pågår forhandlinger mellem EU Kommissionen og USA om at etablere et nyt overførselsgrundlag efter Safe Harbour faldt ved Schrems I og Privacy Shield faldt ved Schrems II. Måske kommer en dag et sådant artikel 45-grundlag, men det findes altså ikke i skrivende stund.

Desuden kan vi som nu overføre PII til tredjelande, når en af undtagelsesbestemmelserne i artikel 49 er opfyldt.
EDPB præciserer i Recommendation 01/2020, at artikel 49 alene kan bruges i de snævre og særlige situationer, der er nævnt i artiklen.

3. Situationen med tredjelandsoverførsler efter artikel 46
Udgangspunktet for tredjelandsoverførslerne i bred forstand er fortsat, som det fremgår af EU’s Charter, (GDPR, EDPBs Recommendation 02/2020 og CJEU), at der skal sikres et beskyttelsesniveau, som er essentielt ækvivalent til, hvad der gives i EU, når PII overføres til tredjelande.

Vi kan overføre PII efter de overførselsgrundlag, der følger af artikel 46, og som omfatter SCC, BCR, ad-hoc-kontrakter, adfærdskodekser og certificeringsmekanismer samt - alene for offentlige myndigheder: retligt bindende instrumenter og administrative ordninger.

Uanset hvilket overførselsgrundlag der anvendes, skal de essentielle garantier være opfyldt. BCR og ad-hoc-kontrakter skal godkendes af Datatilsynet og adfærdskodekser m.v. findes der ingen af endnu, hvorfor vi nedenfor stort set alene adresserer SCC.

Uanset at man bruger SCC (eller BCR eller ad-hockontrakter), har EDPB fastholdt anbefalingen om, at man gennemgår en seks-trins model for at fastslå, om overførselsgrundlaget er compliant:

De seks trin
- Kortlæg hvilke overførsler der foretages og hvortil
- Kortlæg de anvendte overførselsgrundlag
- Fastslå om de valgte overførselsgrundlag er effektive
- Iværksæt supplerende foranstaltninger
- Procedurer som følge af supplerende foranstaltninger
- Evaluering af verførselsgrundlagets effektivitet



Fremgangsmåden som blev skitseret i november, bliver altså fastholdt. Der er imidlertid sket nogle præciseringer af indholdet, når det drejer sig om at fastslå, om det valgte overførselsgrundlag er effektivt, jævnfør tredje pind ovenfor:


a. Lovgivningen i tredjelandet, som skal sikre et essentielt ækvivalent beskyttelsesniveau, er compliant; men myndighedernes praksis indikerer klart, at den lovgivningsmæssige beskyttelse ikke efterleves. I dette tilfælde skal der iværksættes supplerende foranstaltninger forud for dataeksport.

b. Lovgivning i tredjelandet, som skal sikre et essentielt ækvivalent beskyttelsesniveau, er ufuldstændig. Samtidig kan det fastslås, at praksis ikke sikrer en passende beskyttelse. I dette tilfælde skal der iværksættes supplerende foranstaltninger, forud for dataeksport.

c. Der er lovgivning i tredjelandet, som kan være problematisk i forhold til at sikre et essentielt ækvivalent beskyttelsesniveau, og som omfatter databehandleren og/eller de PII, som eksporteres.
I denne situation er der tre muligheder:
1. Overførslen kan stoppes,
2. der kan implementeres supplerende foranstaltninger,
3. Der kan laves en mere omfattende analyse, hvis formål er at fastslå, om PII, der er omfattet af netop den dataansvarliges eksport (bl.a. henset til erfaringer for den pågældende branche), kan antages at være genstand for den problematiske lovgivning (se fodnote 12 i SCC og afsnit 44-47 i 01/2020).

Dataimportøren kan spille en betydelig rolle i at tilvejebringe denne information. Viser den omfattende analyse, at der ikke er grund til at tro den problematiske lovgivning vil blive anvendt på netop den konkrete overførsel, kan overførslen finde sted. 
Hvis den omfattende analyse derimod giver grund til at tro, at den problematiske lovgivning kan finde anvendelse, skal der implementeres supplerende foranstaltninger, eller overførslen skal ophøre. Det er vigtigt at understrege, at den mere omfattende analyse, IKKE kan anses for at være en risikovurdering. Der er tale om en juridisk og vel til dels og politisk analyse af forholdene i tredjelandet.

Med den omfattende analyse omtalt ovenfor åbner der sig en metode til, at vi med god dokumentation kan komme uden om de supplerende foranstaltninger, hvis vi kan dokumentere, at netop vores overførsel ikke omfattes af problematisk lovgivning.
Vi må afvente praksis, før vi kan vurdere, hvor stor rækkevidde denne anbefaling om problematisk lovgivning har for tredjelandsoverførsler. I de situationer, hvor vi ikke kan dokumentere, at vores overførsel ikke kan undgå at blive omfattet af problematisk lovgivning, gælder de supplerende foranstaltninger (bl.a. case 6) som blev fremlagt af EDPB i det oprindelige udkast til Recommendation 01/2020, der i skrivende stund står stort set uændret. Det betyder, at vi i den situation skal iværksætte - især tekniske - foranstaltninger, men også har mulighed for at etablere kontraktuelle og organisatoriske foranstaltninger.  

Klik på billedet for at forstørre.

Jeg har prøvet at lave en lille tegning af, hvordan jeg ser flowet med kortlægning af tredjelandsoverførsler og vurdering af det retlige grundlag. Som det fremgår af ovenstående, er der grundlæggende to veje igennem: I de fleste situationer skal der indarbejdes supplerende foranstaltninger i SCC, men der findes en vej udenom, når det kan demonstreres, at praksis viser den problematiske lovgivning ikke finder anvendelse for den konkrete overførsel. Vi må som nævnt afvente praksis, før vi kan se, hvor bred denne vej er.

Uddybende bemærkninger til Recommendation 01/2020

Når man sammenligner udkastet til Recommendation 01/2020 fra november 2020 med den endelige, vedtagne version fra 21. juni 2021, ligger den væsentligste ændring som nævnt ovenfor i trin 3 i EDBPs anbefalede proces-model.
EDPB præciserer desuden, at dataeksportøren sammen med dataimportøren skal fastslå, om der er noget i tredjelandets lovgivning eller praksis, som betyder, at overførselsgrundlaget ikke sikrer, at de essentielle garantier er essentielt ækvivalente, når PII overføres til tredjeland. Parterne skal i processen adressere, om myndighederne i tredjeland - med eller uden importørens viden - kan skaffe sig adgang til PII hos importøren eller andre dele af den værdikæde, som behandler PII, f.eks. internetserviceudbyderne som transporterer PII.
Parterne skal scope deres afklaring af dette forhold således, at den bl.a. adresserer den lovgivning, der er relevant for den konkrete overførsel (men ikke bredere end dette). 

Ved analysen skal der bl.a. lægges vægt på:

- Formålene med overførsel og behandling.
- Typer af aktører (f.eks. offentlig/privat, internetudbydere), der er involveret.
- Hvilke sektorer som forestår overførslen.
- Kategorierne af PII (og deres følsomhed og deraf følgende begrænsning af risiko efter artikel 32 (jf. fodnote 42)).
- Om der sker lagring eller er remote adgang til PII, PIIs format (klartekst, krypteret eller pseudonymiseret) og mulighederne for videre overførsel. 

Der skal ved analysen endvidere lægges vægt på, om myndighederne i tredjelande ved deres adgang tilsidesætter de essentielle garantier, som er nødvendige og proportionale i et demokratisk samfund (som fastlagt af CJEU i Schrems I, Schrems II, nogle af dommene om logning m.v.).
Det kan altså ikke udelukkes, at myndighederne i tredjelande kan få adgang til PII, hvis det sker inden for rimelige rammer (betragtning 35). 

Der bør også lægges vægt på, om myndighedernes adgang til data kan prøves ved en domstol, om importlandet har en generel databeskyttelseslovgivning, om der findes et uafhængigt datatilsyn, og om tredjelandet er bundet af internationale instrumenter til at beskytte PII. Analysen bør adressere både lovgivning og myndighedernes praksis. 

På baggrund af ovenstående kan der efter EDPBs opfattelse opstå tre situationer:

a. Lovgivningen i tredjelandet, som skal sikre et essentielt ækvivalent beskyttelsesniveau, er compliant, men myndighedernes praksis indikerer klart, at den lovgivningsmæssige beskyttelse ikke efterleves. I dette tilfælde skal der iværksættes supplerende foranstaltninger, forud for dataeksport.

b. Lovgivning i tredjelandet, som skal sikre et essentielt ækvivalent beskyttelsesniveau, er ufuldstændig. Samtidig kan det fastslås at praksis ikke sikrer en passende beskyttelse. I dette tilfælde skal der iværksættes supplerende foranstaltninger, forud for dataeksport.

c. Der er lovgivning i tredjelandet, som kan være problematisk i forhold til at sikre et essentielt ækvivalent beskyttelsesniveau, og som omfatter databehandleren og/eller de PII, som eksporteres. I denne situation er der tre muligheder: Overførslen kan stoppes, der kan implementeres supplerende foranstaltninger, eller der kan laves en mere omfattende analyse med det formål at fastslå, om PII, der er omfattet af netop den dataansvarliges eksport (bl.a. henset til erfaringer for den pågældende branche), kan antages at være genstand for den problematiske lovgivning (se fodnote 12 i SCC og afsnit 44-47 i 01/2020). Dataimportøren kan spille en betydelig rolle i at tilvejebringe denne information. Hvis den mere omfattende analyse viser, at der ikke er grund til at tro, at den problematiske lovgivning vil blive anvendt på netop den konkrete overførsel, kan overførslen finde sted.  Hvis den omfattende analyse derimod giver grund til at tro, at den problematiske lovgivning kan finde anvendelse, skal der implementeres supplerende foranstaltninger, eller overførslen skal ophøre.

Den omfattende analyse skal være detaljeret og foreligge i en ”rapport”. Den information, som tilvejebringes, skal være relevant, objektiv, troværdig, verificerbar og tilgængelig. Der lægges i høj grad op til, at det er importøren, der skal hjælpe til med at tilvejebringe informationen (betragtning 44).
Analysen skal naturligvis have fokus på den problematiske lovgivning, ligesom den kan understrege erfaringen fra aktører i samme branche. Der kan også lægges vægt på importørens erfaring, og dennes erfaring må ikke kunne modsiges/bestrides. Videre kan analysen uddybe og redegøre for praksis fra domstole, datatilsyn i tredjelandene, andre myndigheder i tredjelandene, nationale officielle rapporter samt rapporter fra faglige organisationer og interesseorganisationer.

Eksemplet på side 20-21 omfatter en god beskrivelse af, hvad der forventes i analysen og rapporten.

Uddybende bemærkninger til SCC

De to gamle SCC’er er erstattet af ét dokument, som skal omfatte fire situationer, nemlig overførsel fra:

  • Dataansvarlig til dataansvarlig
  • Dataansvarlig til databehandler
  • Databehandler til databehandler
  • Databehandler til dataansvarlig

De nye SCC’er kan suppleres med ekstra bestemmelser, hvis disse ikke er i modstrid med SCC’erne, Charteret eller GDPR-reglerne. Videre kan underdatabehandlere tilslutte sig aftalerne. Der er en forpligtelse til, at parterne vurderer, om SCC’en generelt giver en effektiv beskyttelse. Videre er der gode muligheder for at tilføje supplerende foranstaltninger, så SCCs effektivitet leves op til og sikres.
Endelig skal de registrerede oplyses om SCC’erne, som derfor bør supplere de privacy notices, der gives til de registrerede i forskellige sammenhænge, fortrinsvis via hjemmesider. 

I SCC kommer den i Recommendation 01/2020 nævnte analyse og omfattende analyse af forholdene i tredjelandet især til udtryk i bestemmelse 14 og den tilknyttede fodnote 12. 

Et par afsluttende, politiske betragtninger

Vanen tro kan jeg ikke afholde mig fra at komme med et par politiske betragtninger - helt for egen regning.

Ventetiden er forbi.
Vi har nu fået de to dokumenter, SCC og Recommendation 01/2020, som vi har ventet på, i hvad der forekommer en evighed. Recommendation 01/2020 giver os endda en åbning for at overføre PII uden supplerende foranstaltninger. Så det er med at komme i gang.

Vi ved, at vi står os bedst ved at løbe igennem EDPB's 6-punkts køreplan.
Men når vi kommer til punkt 3, hvor vi skal fastslå, om vores overførselsgrundlag er effektivt i alle mulige tredjelande, synes der ligger en gevaldig og stor arbejdsbyrde. Den arbejdsbyrde er ikke blevet mindre med Recommendation 01/2020, som nu lægger op til, at der kan ske overførsler (bl.a. med SCC) til usikre tredjelande med lovgivning, der er problematisk (og altså ikke som udgangspunkt giver essentielt ækvivalent beskyttelse) - forudsat, at dataeksportøren kan dokumentere, at netop den overførsel, man selv foretager, ikke er omfattet af de problematiske regler (og at man dermed i praksis oplever en ækvivalent beskyttelse).
Det bliver f.eks. nok vanskeligt at dokumentere, hvis man eksporterer til et land, der opsamler al trafik i kablerne, inden trafikken når dataimportøren (jf. betragtning 63 og 64 i C-311/18). Tilsvarende vanskeligt bliver det, hvis der ikke er mulighed for domstolsprøvelse.

Dataeksportøren kan ganske vidst læne sig op af dataimportøren, som skal hjælpe med at tilvejebringe denne dokumentation, og det har de største dataimportører sikkert tilvejebragt inden udgangen af juni. Men for hver eneste dataeksportør ligger der en stor opgave i at vurdere, om vi tør stole på dokumentationen.

Vi må derfor afvente praksis, før vi kan vurdere, hvor stor rækkevidde denne anbefaling om dokumentation om problematisk lovgivning har og får for tredjelandsoverførsler. Praksis kommer formodentlig forholdsvist hurtigt, nu NOYB allerede har anlagt 101 klagesager over tredjelandsoverførsler ved de forskellige europæiske datatilsyn. Der ligger dog stadig en stor procesrisiko for, at der bliver skønnet forkert, indtil vi bliver mere fortrolig med denne praksis. Videre ligger der også en risiko for, at vi først får afklaret praksis gennem en Schrems III, Schrems IV og Schrems V. 

På den lidt længere bane ligger der nok en langt mere stabil løsning på overførselsproblematikken ved at USA får lavet noget privacy-lovgivning, og at der etableres nye overførselsgrundlag mellem EU Kommissionen og FTC. Alternativt og endnu mere sandsynligt og endnu mere holdbart vil det være, at de store serviceprovidere indretter sig efter, og udbyder rent europæiske løsninger, der serviceres fra Europa og anvender underdatabehandlere i Europa, som nogle af dem var ude at love for nyligt.

Det vil jeg glæde mig til, at vi får!

Flere blogs indenfor området

Se alle blogs

Sådan mestrer du DPIA-processen

Få styr på DPIA-processen: 7 trin til succesfuld implementering af nye systemer

Tærskel- og konsekvensanalyse: Indledende screening vs dybdegående vurdering