menu close Teknologiens Mediehus
person Konto arrow_drop_down
Efter flere måneders ventetid har det Europæiske Databeskyttelsesråd (EDPB) vedtaget sine endelige anbefalinger til supplerende foranstaltninger, når dataansvarlige skal føre data ud af EU.
Og det cementerer i praksis cloud-hovedpinen for mange dataansvarlige og -behandlere, som vil sende data frem og tilbage til usikre tredjelande, som USA eksempelvis er. Det fortæller Mikkel Friis Rossa, partner og advokat med speciale i databeskyttelsesret ved Bech-Bruun:
»I forhold til brugen af amerikanske cloudtjenester, forholder det sig fortsat sådan, at det ikke er muligt på lovlig vis at anvende disse tjenester, så længe cloududbyderen er etableret i et usikkert tredjeland og har behov for at kunne tilgå indholdet af personoplysningerne. Brug af amerikanske cloudtjenester kræver derfor fuldstændig kryptering eller pseudonymisering, og at cloududbyderen ikke har adgang til krypterings- eller pseudonymiseringsnøglen,« skriver han i en mail til ComplianceTech.
»Det er derfor nu op til udbyderne af cloudtjenesterne at tage næste skridt i håndteringen af udfordringen.«
Anbefalingerne er et resultat af Schrems II-afgørelsen sidste sommer, hvor EU-domstolen underkendte Privacy Shield-aftalen. Derfor er man nu nødt til at bruge Standard Contractual Clauses (SCC’er), når man sender persondata til et tredjeland – for eksempel USA, der med Schrems II-dommen blev stemplet som usikkert tredjeland.
Men man kan ikke nøjes med SCC’erne. Ifølge EU, kan man være nødt til at implementere nogle tekniske, kontraktuelle eller organisatoriske supplerende foranstaltninger for at gøre overførslen lovlig efter GDPR’s krav.
Sidste november offentliggjorde EDPB sit første udkast til anbefalinger til supplerende foranstaltninger, hvorefter de var i høring. Her kunne interessenter – blandt andet Digitaliseringsstyrelsen – indsende høringssvar til EDPB:
»Det er vores synspunkt, at denne ændring i mange tilfælde vil forvride et fokus på kerneaktiviteterne i vores virksomheder og myndigheder og derfor bremse udviklingen af vores økonomi,« skriver digitaliseringsstyrelsen i sit høringssvar.
Efter offentliggørelsen af anbefalingerne stod det klart for flere eksperter på området, at dokumentet gør det meget svært for eksempelvis danske virksomheder og myndigheder at overføre persondata lovligt til USA i forbindelse med brugen af amerikanske cloud-tjenester.
For at beskytte mod tredjelandsmyndigheders adgang til data, vurderer EDPB nemlig, at man skal bruge tekniske foranstaltninger i dataoverførslen.
Men i udkastets Use Case 6 skriver man, at Databeskyttelsesrådet er »ude af stand til at forestille sig en effektiv teknisk foranstaltning til at forhindre, at adgangen krænker den registreredes rettigheder«, hvis dataoverførslen sker til et usikkert tredjeland, som EU-domstolen har vurderet, at USA er.
Og det har ikke ændret sig i de endelige anbefalinger.
Nedenfor kan du se en sammenligning mellem Use Case 6 i udkastet og Use Case 6 i den endelige udgave.
