12-08-2020

Det bliver måske umuligt at behandle persondata uden for EU

Ifølge IT-Branchen gør en ny EU-dom det nu mere besværligt, og måske i nogle tilfælde helt umuligt, at sende persondata ud af EU, hvis man bruger ikke-europæiske leverandører til f.eks. sine cloud-løsninger.

Resultatet af EU-Domstolens afgørelse i Schrems II sagen kan have store konsekvenser for it-leverandørerne, da domstolen nu slår fast, at man fremadrettet også skal vurdere selve modtagerlandets beskyttelsesniveau, oplyser IT-Branchen.

Dermed får virksomhederne og i praksis især it-leverandørerne en langt større opgave med at kunne dokumentere beskyttelsesniveauerne i de forskellige lande, hvis de vil benytte underleverandører uden for EU i forhold til f.eks. cloud-tjenester.

Gamle overførselsgrundlag ikke godt nok

EU-Domstolen slår i sin dom fra 16. juni 2020 fast, at det ikke er tilstrækkeligt kun at vurdere modtagervirksomhedens beskyttelsesniveau, eller at modtagervirksomheden blot havde accepteret, at de var forpligtet til den nødvendige beskyttelse.

For hvis virksomhedens forpligtelse i realiteten ikke kan håndteres i modtagerlandet, f.eks. hvis modtagerlandet kan kræve adgang til persondata uden en retsproces, der svarer til den, man er garanteret i EU, så må virksomheden ikke få adgang til persondata, heller ikke ved brug af EU’s standardkontrakter, oplyser IT-Branchen.

I den konkrete sag vurderede EU-Domstolen, at myndighederne i USA havde for bred adgang til persondata uden den nødvendige domstolskontrol eller klageadgang for EU-borgere, og derfor nåede de frem til, at Privacy Shield ikke var et tilstrækkeligt overførselsgrundlag.

EU’s egne standardkontrakter kan som sådan fortsat bruges som overførselsgrundlag, men der er kommet et skærpet fokus på, om modtagerlandet nu også reelt har en tilstrækkelig beskyttelse. Man skal med andre ord nu selv undersøge, om modtagerlandets retssystem og persondatabeskyttelse lever op til EU’s krav.

Hvis det viser sig, at standardkontrakterne reelt ikke kan håndhæves i det pågældende land, så kan de heller ikke længere bruges som grundlag for en aftale.

”Det giver jo anledning til nogle overvejelser. Kan man f.eks. gennem aftaler hæve beskyttelsesniveauet? Er der lande, som man aldrig vil kunne overføre persondata til som f.eks. Kina, Iran og Rusland?,” siger Tim Krarup Nielsen, Certificeret IT-advokat hos DAHL Advokatfirma.

Større opgave for leverandøren

Selvom det stadig i første omgang er kunden (den dataansvarlige), der har forpligtelsen, da disse kontrakter altid indgås med den dataansvarlige som den ene part, så er der ingen tvivl om, at det i praksis ofte er it-leverandøren, der ender med forpligtelsen.

Typisk anvender en kunde en leverandør inden for EU, f.eks. en dansk it-virksomhed, som så igen har en underleverandør (underdatabehandler) uden for EU.

Kunden vil derfor forvente, at leverandøren har styr på deres underleverandører, og som noget nyt også om modtagerlandets beskyttelsesniveau og retssikkerhed er i orden, da dette skal dokumenteres og kunne forevises til Datatilsynet.

DAHL Advokatfirma anbefaler, at man helt overordnet genovervejer, om persondata kan holdes inden for EU. På den måde undgår man problemer – uanset om man er kunde (dataansvarlig) eller leverandør (databehandler).

Hele artiklen fra IT-Branchen kan læses her.



Leverandører
Ændre marked
Tilbage til toppen