Cloud

I lyset af EU-Domstolens såkaldte Schrems II-dom den 16. juli 2020 modtager Datatilsynet et stigende antal spørgsmål vedrørende overførsel af personoplysninger til tredjelande. En række af disse spørgsmål vedrører begrebet ”dataeksportør”, og hvem – den dataansvarlige eller databehandleren – der i praksis er ansvarlig for at sikre, at overførsel af personoplysninger sker i overensstemmelse med databeskyttelsesreglerne ved større, komplekse databehandlerkonstruktioner.

Begrebet ”dataeksportør” er ikke defineret i databeskyttelsesforordningen. Begrebet er derimod defineret i bl.a. EU-Kommissionens standardkontrakt, der er blandt de mest anvendte overførselsgrundlag i forordningens kapitel V. Tilsvarende fremgår det af EU-Kommissionens beslutning[1] om standardkontrakten, at dataeksportøren er ”den dataansvarlige eller databehandleren, der overfører personoplysningerne til et tredjeland”.

EU-Kommissionens standardkontrakt kombinerer generelle bestemmelser med en modulopbygget tilgang for at tage højde for forskellige overførselsscenarier. Dermed kan standardkontrakten bl.a. også indgås af en databehandler i EU, der efter instruks fra sin dataansvarlige overfører personoplysninger til en dataansvarlig eller databehandler i tredjelandet (”dataimportøren”).

Situationen, som navnlig har givet anledning til tvivl, er den, hvor en europæisk dataansvarlig benytter sig af en eller flere databehandlere inden for EU/EØS, men hvor en eller flere af dennes underdatabehandlere befinder sig uden for EU/EØS. Spørgsmålet er herefter, hvilken part der har ansvaret for at sikre overførslens lovlighed i henhold til databeskyttelsesforordningen.

Det er, som nævnt ovenfor, med EU-Kommissionens nye standardkontrakt muligt for databehandleren at indgå standardkontrakten direkte med eventuelle underdatabehandlere i tredjelande med henblik på at tilvejebringe det fornødne overførselsgrundlag. Overførselsgrundlaget vil i givet fald bestå af, at databehandleren – i medfør af forordningens artikel 46, stk. 2, litra c – har givet fornødne garantier for de registrerede vedrørende beskyttelsesniveauet. I sådanne tilfælde er det databehandleren, der betegnes som ”dataeksportøren”, og som (sammen med underdatabehandleren, som betragtes som ”dataimportør”) er direkte forpligtet af standardkontraktbestemmelserne og deres indhold.[2]

Hovedreglen for overførsel af personoplysninger til tredjelande fremgår imidlertid af det generelle princip i databeskyttelsesforordningens artikel 44. Heraf fremgår, at:

”Enhver overførsel af personoplysninger, som underkastes behandling eller planlægges behandlet efter overførsel til et tredjeland eller en international organisation, må kun finde sted, hvis betingelserne i [kapitel V] med forbehold af de øvrige bestemmelser i denne forordning opfyldes af den dataansvarlige og databehandleren, herunder ved videreoverførsel af personoplysninger fra det pågældende tredjeland eller den pågældende internationale organisation til et andet tredjeland eller en anden international organisation. Alle bestemmelserne i dette kapitel anvendes for at sikre, at det beskyttelsesniveau, som fysiske personer garanteres i medfør af denne forordning, ikke undermineres.” (Datatilsynets fremhævning)

Datatilsynet forstår forordningens artikel 44 som en forpligtelse for såvel den dataansvarlige og databehandleren. Begge parter er derfor forpligtet til at sørge for, at der tilvejebringes et overførselsgrundlag, der er effektivt i lyset af alle omstændighederne ved overførslen. Det gælder også i de tilfælde, hvor det i praksis er databehandleren, der har indgået en standardkontrakt i henhold til forordningens artikel 46, stk. 2, litra c, med eventuelle underdatabehandlere i tredjelande. I så fald består forpligtelsen for den dataansvarlige i praksis i at sikre sig – og kunne påvise over for Datatilsynet – at databehandleren har etableret det fornødne overførselsgrundlag, og at dette overførselsgrundlag er effektivt i lyset af alle omstændighederne ved overførslen, herunder ved implementeringen af supplerende foranstaltninger om nødvendigt.

Tilsvarende forpligtelser for såvel den dataansvarlige og databehandleren findes også i andre bestemmelser i databeskyttelsesforordningen.

Det fremgår eksempelvis af forordningens artikel 32, at den dataansvarlige og databehandleren skal etablere et passende behandlingssikkerhedsniveau. Datatilsynet betragter, som en fast praksis, både den dataansvarlige og dennes eventuelle databehandlere som selvstændige pligtsubjekter for denne forpligtelse. Det betyder, at den dataansvarlige og databehandleren hver især er forpligtet til at træffe de fornødne tekniske og organisatoriske foranstaltninger for at etablere et passende behandlingssikkerhedsniveau. I tilfælde, hvor databehandleren leverer (størstedelen af) den tekniske infrastruktur, vil den dataansvarliges opgave i praksis navnlig bestå i at sikre sig – og kunne påvise over for Datatilsynet – at databehandleren har etableret et passende behandlingssikkerhedsniveau.

[1] EU-Kommissionens gennemførelsesafgørelse (EU) 2021/914 af 4. juni 2021 om standardkontraktbestemmelser for overførsel af personoplysninger til tredjelande i henhold til Europa-Parlamentets og Rådets forordning (EU) 2016/679.

[2] Se også forordningens artikel 46, stk. 1, hvoraf fremgår, at en dataansvarlig eller en databehandler kun må overføre personoplysninger til et tredjeland, hvis vedkommende har givet de fornødne garantier for de registrerede.

Overførsel af personoplysninger til og fra EU/EØS er nødvendig for udbygningen af den internationale samhandel og det internationale samarbejde.

Personoplysninger om borgere i Danmark nyder dog – på linje med oplysninger om andre europæiske borgere – en særlig beskyttelse i kraft af de fælleseuropæiske databeskyttelsesregler. En af grundstenene i disse regler er, at beskyttelsesniveauet, som reglerne sikrer i EU/EØS, ikke må undermineres ved, at oplysningerne overføres til lande uden for EU/EØS – såkaldte tredjelande. Der findes derfor en række særlige krav, der skal være opfyldt ved overførsel af personoplysninger til tredjelande. Disse særregler har til hensigt at sikre et tilsvarende højt beskyttelsesniveau for de oplysninger, som overføres uden for EU/EØS.

I juli 2020 præciserede EU-Domstolen i den såkaldte Schrems II-dom bl.a., at reglerne om overførsel af personoplysninger til tredjelande generelt forudsætter, at beskyttelsesniveauet i det pågældende tredjeland i det væsentlige skal svare til beskyttelsesniveauet i EU/EØS.

En af de mest anvendte måder, hvorpå en organisation kan etablere et tilsvarende beskyttelsesniveau og dermed overføre personoplysninger til tredjelande er ved, at organisationen indgår en særlig aftale med organisationen i tredjelandet, som oplysningerne skal overføres til. Denne aftale benævnes ofte EU-Kommissionens standardkontrakt og indeholder en række forpligtelser for såvel dataimportøren som dataeksportøren, ligesom aftalen giver de registrerede personer en række rettigheder, der kan håndhæves over for de to parter.

Schrems II-dommen indebærer, at organisationer, der overfører oplysninger til tredjelande på baggrund af EU-Kommissionens standardkontrakt skal undersøge, om kontrakten i sig selv er tilstrækkelig til at sikre et beskyttelsesniveau, som i det væsentlige svarer til niveauet i EU/EØS. Kontrakten kan eksempelvis være utilstrækkelig, hvis retshåndhævende myndigheder i det pågældende tredjeland har adgang til de overførte personoplysninger i disproportionalt omfang fx på baggrund af masseovervågningsprogrammer, idet offentlige myndigheder ikke er bundet af kontrakten.

Hvis det ikke er muligt at sikre et tilsvarende beskyttelsesniveau ved hjælp af standardkontrakten alene, skal organisationen træffe supplerende foranstaltninger med henblik på at bringe det samlede beskyttelsesniveau op på europæisk standard.

Sådanne supplerende foranstaltninger kan være både tekniske, kontraktuelle og organisatoriske. I nogle tilfælde kan det – afhængigt af de konkrete lovregler og praksis – være tilstrækkeligt at træffe supplerende kontraktuelle og organisatoriske foranstaltninger. I mange tilfælde vil det dog være nødvendigt at træffe supplerende tekniske foranstaltninger. Det er bl.a. tilfældet for visse typer af overførsler til USA, idet visse organisationer i landet er underlagt regelsæt, der indebærer, at organisationerne skal udlevere oplysninger til retshåndhævende myndigheder i et omfang, der ikke er foreneligt med de grundlægende europæiske regler.

Det Europæiske Databeskyttelsesråd er i løbet af 2. halvdel af 2020 og 1. halvdel af 2021 fremkommet med en række konkrete anbefalinger til supplerende foranstaltninger, som organisationer kan implementere i tillæg til indgåelse af standardkontrakten.

Datatilsynet anerkender dog, at det desuagtet fortsat kan være en stor og vanskelig opgave, særligt for små og mellemstore organisationer, og tilstræber i videste muligt omfang at bistå danske organisationer med at løfte denne opgave.

Datatilsynet har på den baggrund besluttet at nedsætte en ekspertarbejdsgruppe om anvendelse af cloud, der skal understøtte tilsynets arbejde.

Ekspertarbejdsgruppen skal bl.a. se på:

• Udfordringer ved nuværende cloudservices i lyset af den seneste retlige udvikling
• Mulige tiltage og foranstaltninger, der kan sikre en ansvarlig og lovlig brug af cloudservices
• Tekniske og økonomiske fordele og udfordringer i forbindelse med anvendelse af state-of-the-art teknologi og teknikker
• Organisatoriske principper og retningslinjer, der kan implementeres i den enkelte organisation med hensyn til brug af cloudservices

Ekspertarbejdsgruppens arbejde skal bidrage til at identificere mulige og praktisk anvendelige løsninger og foranstaltninger, der kan sikre anvendelse af cloudservices inden for rammerne af databeskyttelsesreglerne, og understøtte Datatilsynets generelle viden på området.

Datatilsynet vil på baggrund af ekspertarbejdsgruppens bidrag udarbejde konkrete anbefalinger og praktisk vejledning som supplement til tilsynets generelle vejledning om cloud. Datatilsynets hensigt er, at vejledningen skal rette sig både til de dataansvarlige organisationer, der gør brug af cloudbaserede leverancemodeller, og til cloududbydere, der udvikler og tilbyder sådanne løsninger.

Datatilsynet har tilstræbt at sammensætte ekspertarbejdsgruppen af medlemmer, der har både praktisk og teoretisk erfaring med og kendskab til cloud services.

Datatilsynets ekspertgruppe består af:

• Paul Ahlgren, Principal Security Strategist, Amazon Web Services
• Stephen Alstrup, Professor, Københavns Universitet
• Carsten Baum, Assistant professor, Aarhus Universitet
• Bernardo Machado David, Associate Professor, IT Universitetet
• Frank Bech Jensen, Head of Compliance and Security, itm8
• Ole Kjeldsen, Teknologi- og sikkerhedsdirektør, Microsoft Danmark
• Gert Læssøe Mikkelsen, Head of Security Lab, Alexandra Instituttet
• Christian Provstgaard, Senior Consultant, Silverbullet
• Ole Tange, IT-politisk rådgiver, PROSA

Datatilsynet forventer at mødes med ekspertarbejdsgruppen 3-5 gange i løbet af 2022.

På baggrund af ekspertarbejdsgruppens bidrag tilstræber Datatilsynet at udarbejde konkrete anbefalinger og praktisk vejledning som supplement til tilsynets generelle vejledning om cloud.

Anbefalingerne og vejledningen vil blive sendt i offentlig høring, når de foreligger.

Nej. Du skal som den dataansvarlige have overblik over hele leverandørkæden og de behandlinger, der foregår.

Nej. Du skal som den dataansvarlige have et retligt grundlag for at videregive oplysningerne, ligesom du skal påse, at den, du videregiver til, lovligt kan behandle oplysningerne.

Hvis du har lavet en risikovurdering for dine behandlingsaktiviteter, og disse aktiviteter ikke ændres væsentligt som følge af din brug af cloudservices, kan den oprindelige vurdering være nok. Generelt vil behandlingsaktiviteterne og måden, som behandlingerne udføres på, dog typisk ændre sig, hvilket vil nødvendiggøre en fornyet risikovurdering.

Det er ikke i sig selv diskvalificerende at benytte en standardydelse på baggrund af en standardiseret aftale. Det væsentlige er, om ydelsen og aftalen lever op til de krav, du som den dataansvarlige bør stille. Hvis dine krav kan opfyldes med standardydelsen og -aftalen, er dette ikke i sig selv en hindring. Det betyder dog også, at der kan være services, som du er nødt til at fravælge, hvis ydelsen og aftalen ikke lever op til de krav, du mener er passende.

Nej. Som dataansvarlig er du forpligtet til at påse, at beskyttelsesniveauet i tredjelandet i det væsentlige svarer til niveauet i EU/EØS, før du overfører oplysninger. Det kan betyde, at du – i tillæg til standardkontrakten – skal træffe supplerende foranstaltninger.

Jo. Enhver behandling i tredjeland udgør en overførsel. En se-adgang er også en behandling – og dermed overførsel – i databeskyttelsesforordningens forstand.

Måske. Hvis cloudleverandøren – enten ved tillægsydelser eller som service eller support af sin egen infrastruktur – kan tilgå oplysningerne fra et tredjeland, skal du fortsat iagttage reglerne om tredjelandsoverførsler.

Hvis din dataimportør og/eller de oplysninger, du ønsker at overføre, er omfattet af bl.a. FISA 702, er det meget vanskeligt at overføre oplysninger i klartekst til USA, dvs. uden at træffe supplerende foranstaltninger. Hvis du objektivt kan godtgøre, at den problematiske lovgivning, herunder fx FISA 702, ikke i praksis vil blive anvendt på oplysningerne, der skal overføres, kan det være muligt. Derudover kan du i visse tilfælde og i særlige situationer gøre undtagelse fra reglerne om tredjelandsoverførsler.

Ja, det kan man godt. Selv om en leverandør er omfattet af amerikansk lovgivning, der kan medføre udlevering af oplysninger (fx US CLOUD Act), kan man – hvis det er aftalt, og man er betrygget i, at udbyderen vil overholde gældende EU-ret – godt benytte den pågældende leverandør.

Nej. Du skal foretage en vurdering af risikoen for den registreredes rettigheder, og du skal være betrygget i, at leverandøren vil overholde gældende EU-ret, før du kan benytte en leverandør, der er omfattet af sådanne lovregler.