Schrems II: Du skal stadig nok ikke gøre noget endnu

De fleste organisationer (offentlig + privat) overfører personoplysninger udenfor EU. Det sker ikke mindst typisk, hvis de bruger services fra Microsoft. Men det kan også sagtens ske gennem andre, mindre cloudværktøjer.

Da der mod forventning er begyndt at dukke afgørelser op rundt omkring i EU, der rent faktisk tager Schrems II alvorligt ved at påbyde ophør af overførsel, bør man som CEO/direktør bede sin it-ansvarlige sætte sig ned og på forretningens vegne stille følgende spørgsmål som led i forretningsrisikovurderingen:

  1. Er det sandsynligt indenfor 1 år, at vores lokale tilsynsmyndighed kommer hos os og kigger?
  2. Hvis nej (da datatilsynene generelt er tilbageholdende på området) gør ingenting. Hvis ja, gå videre.
  3. Har vi forretningskritiske systemer, der overfører personoplysninger udenfor EU?
  4. Hvis nej, gør ingenting, da I kan holde til et forbud. Hvis ja, gå videre.
  5. Læg spørgsmål vedrørende supplerende foranstaltninger/supplementary measures ind i dit tilsynsskema. (Har du ikke et sådan skema, hjælper vi dig gerne med det.)
  6. Er du mere modig, og du er kommet hertil, så vent. Databehandlerne skal nok komme med deres supplerende foranstaltninger. De vil jo gerne have din forretning. Microsoft har deres på plads. Om de holder, må tiden vise, men du kan næppe gøre mere ved det.

Og husk nu, at hvis der intet står i din databehandleraftale om overførsel (du har ikke sagt ok til overførsel og ikke godkendt underdatabehandlere udenfor EU), har du dit på det tørre, selvom eksempelvis AWS er underdatabehandler, og du har en stærk formodning om, at der reelt sker slutbehandling udenfor EU ved support, udvikling og beredskabshændelser.

Og så nægter vi i Unitas at kommentere denne skævert, da Schrems II-apparatet næppe skal sættes i værk, alene fordi der er tale om amerikanskejede europæiskplacerede servere.

Unitas har tidligere skrevet om overførsel til tredjelande.

Se Datatilsynets tilsynsspørgsmål og se om du kan bestå testen

“UNITAS har taget simuleret besvarelse af spørgsmålene op i mod nogle eksisterende kunder, og kan konkludere, at med det arbejde kunderne sammen med UNITAS har udført, gør det dem i stand til at svare praktisk talt til et 12-tal hele vejen igennem.”

UNITAS har bedt om indsigt i Datatilsynets (DT) spørgeramme, der benyttes over for virksomheder og organisationer i forbindelse med indledende tilsyn. Spørgeskemaet rummer p.t. ca. 50 spørgsmål og kan læses her! Vejledning til skemaet finder du her!

Spørgsmålene omhandler ud over de åbenlyse områder som dokumentation af behandlingsaktiviteter (fortegnelsen) og risikovurderinger (der skal kunne dokumenteres med datostempler, have ledelsesgodkendelse m.m.) over særligt de tekniske sikkerhedsforanstaltninger.

De omhandlede tekniske sikkerhedsforanstaltninger tæller emner som; sikker kommunikation, evne til reetablering af data fra backup, sikre opdaterede og testede beredskabsplaner m.m.

Da vi i UNITAS favner både jura, compliance og it-sikkerhed, kan vi bl.a. hjælpe dig med følgende, der sikrer, at du har det grundlæggende på plads:

  • Basis GDPR-dokumentation
    • Kortlægning af processer og systemer
    • Udfærdigelse af din virksomheds fortegnelse
    • Kvalitetssikring af databehandleraftaler der danner en del af grundlaget for den efterfølgende…
    • … risikovurdering, der skal være datomærket og ledelsesgodkendt
    • Dokumentation af de grundlæggende tekniske og organisatoriske sikkerhedsforanstaltninger
    • Udarbejdelse af generelle kontroller
  • Udarbejde it-sikkerhedspolitik fx med udgangspunkt og baggrund i CFCS-anbefalinger
  • Udarbejde procedurer for håndtering af brud på informationssikkerheden samt logningsfunktion
  • Etablere eller overflytte dokumentation til et system, der lever op til kravene om datomærkning, sporbarhed og versionering
  • Evne til sikker kommunikation
    • Rådgive om sikker kommunikation
    • Implementere sikre kommunikationsplatforme
    • Eftersyn af evt. eksisterende sikker kommunikationsplatform
  • Evne til at genskabe data
    • Review af eksisterende backup-løsning
    • Rådgive om backup
    • Sikre fuldautomatiseret løbende restore-test af filer, databaser m.m.
  • Evne til at reetablere adgang til data
    • Udarbejdelse af beredskabsplaner med udgangspunkt i fx sikkerdigital.dk rammeværktøj
    • Test og dokumentation

Herudover kan vi i UNITAS hjælpe med emner, der ikke p.t. direkte er adresseret i spørgeskemaet fra Datatilsynet som fx privatlivspolitikker, tilsynsproces af databehandler, dataklassificering, automatiseret indsamling af læsekvitteringer for diverse politikker, indhentelse af samtykker og alle de it-sikkerhedsmæssige aspekter som fx kryptering, sårbarhedsscanninger m.m., der alt sammen er elementer i en god og sikker behandling af persondata.

Vi kender endnu ikke de resterende spørgsmål, da de p.t. er sat i høring. Når vi kender dem, opdaterer vi dette blog-indlæg med guide til, hvordan du sammen med UNITAS kan besvare et indledende tilsyn fra Datatilsynet nemt, effektivt og betryggende.

Og… husk følgende; når du nu har nedbragt din GDPR-risiko, har du samtidig nedbragt din forretningsrisiko! Ledelsen vil elske dig for det.

Hvis du nu kigger indad i egen organisation og tænker ’hmm… det er nok ikke helt godt nok, det som vi allerede har’, er du meget velkommen hos UNITAS. Vi kan sikre, at du kommer det sidste stykke, og at du kan svare betryggende på en henvendelse fra Datatilsynet med ro i maven.

Schrems II-dommen – er det slut med persondata udenfor EU?

Vi skal alle lave gummifigurer

Min mindste datter kom en dag hjem fra børnehaven og viste mig en brunlig figur, hun havde lavet i skolen. Figuren var sådan lidt uniteressant som den stod der på køkkenbordet, men man klapper jo, som man skal som far. Hvad folkeskolen siger er altid rigtigt, og jeg skulle ikke lægge mig ud med en skolelærer for slet ikke at tale om en pædagog.

Figuren var lavet af genbrugsgummi fra cykeldæk, og børnene skulle lave dem for at redde klodens klima. Genbrug er jo vejen frem, og det er jo også rigtigt nok.

Lærerne fik dog i den bedste mening efter min opfattelse skubbet det største problem ud til dem, der reelt har mindst indflydelse på det.

Det er lidt det samme i Schrems II-sagen. Problemet ligger nu hos samtlige af de CVR-numre, der eksempelvis mere eller mindre direkte køber cloudtjenester i USA eller i andre tredjelande.

Jeg vil ikke gennemgå dommen her. Det er gjort bedre andre steder. Jeg vil i stedet fokusere på Databeskyttelsesrådets seneste FAQ. Der er foreløbigt svaret på 12 spørgsmål.

Indenfor grænserne af tåleligt juridisk, teknisk og organisatorisk besvær må man samlet set sige, at USA som udgangspunkt på nuværende tidspunkt er et tredjeland, man ikke kan overføre persondata til. Det generelle beskyttelsesniveau i landet er for lavt. Og man kan ikke risikovurdere sig ud af det. Der er således en bundgrænse, man ikke kan risikovurdere sig over.

Har man uanede mængder af ressourcer, er jeg ikke engang sikker på, at man kan komme i mål med det, for hvordan skal man kontraktuelt sikre det samme beskyttelsesniveau i USA som i EU? Det er en opgave EU må slås med overfor USAs regering, herunder ved flere forskellige bilaterale forhandlinger alt efter hvem der har noget at trykke med.

I stedet skal vi nu alle til at lave figurer af brugte cykeldæk. Vi skal alle hver især til at sikre, at USAs regering ikke ligger på bunden af Atlanterhavet og lytter med på datatrafikken fra Europa.

Undtagelsesvis kan der ske overførsel til USA med hjemmel i Artikel 49, men det er i sig selv temmelig besværligt at bruge en af undtagelserne (læs: Vi kommer nemt over tålegrænsen for almindeligt juridisk, teknisk og organisatorisk besvær). Og ingen af undtagelserne afhjælper det reelle behov for overførsel til især USA, som temmelig mange dataansvarlige og databehandlere har.

I arbejdssammenhæng dækker undtagelserne dog, at en medarbejder i en dansk virksomhed mailer engang i mellem med en medarbejder i en amerikansk virksomhed, men der skal nok ikke meget til, før rammerne i undtagelsen sprænges. Man kan som global virksomhed eksempelvis ikke længere lave løn centralt i USA. Jo bevares, det kan man da, men så skal man sikre, at beskyttelsesniveauet er det samme som i EU. Og så er det min påstand, at rammerne for tåleligt juridisk, teknisk og organisatorisk besvær let sprænges.

Grænsen for tåleligt juridisk, teknisk og organisatorisk besvær

Er man dataansvarlig eller databehandler med behandlingsaktiviteter i USA eller et andet tredjeland, må det juridiske råd lyde: Hyr et globalt advokatfirma, der kan tjekke op på beskyttelsesnivauet i de tredjelande, hvor du har persondata til behandling. Er man et globalt firma, kan man sætte juridisk afdeling i de forskellige lande i sving. Du kan også overveje at flytte persondatabehandlingen til EU, da grænsen for, hvor meget mere det må koste, lige har flyttet sig. Og så må man tage det på en prisstigning eller en anmodning om en ekstrabevilling. I sidste ende havner regningen hos kunden/skatteborgeren.

Kan man under ingen omstændigheder trække sine behandlingsaktiveter til EU (inklusiv support, udvikling og beredskabshændelser), og man har ikke lyst til at hyre det globale advokatfirma, må man – uanset overførselsgrundlag – gennemføre de nødvendige juridiske analyser fra skrivebordet, fortsætte med behandlingen og så satse på, at man ikke bliver taget i det, og hvis det sker, satse på at man har lavet en ok god analyse, der viser, at man da var i god tro om et givet tredjelands beskyttelsesniveau. Det ligger dog nok lidt tungt at slippe afsted med det i forhold til USA, med mindre vi får ny lovgivning derovre.

Det ville således være en stor hjælp, hvis Databeskyttelsesrådet lavede en “blacklist”, som kunne bruges til at vise, hvilke lande der er stærkt tvivlsomme at overføre til. Her ville så USA lige nu stå øverst. Så var der da et godt udgangspunkt at arbejde videre med, når de forskellige lande juridisk set var fortygget af Databeskyttelsesrådet – ikke mindst i forhold til afgørelse af, hvorfra man med sikkerhed skal få sine data til EU hurtigst muligt. Man ville have en slags negativliste som modstykke til listen med de sikre tredjelande, der kan siges at være positivlisten.

Under alle omstændigheder er det slået fast, at enhver dataansvarlig, der ikke tager sine behandlingsaktiviteter til EU, skal kende til slutbehandlerens nationalitet i et givent tredjeland, så man kan vurdere beskyttelsesniveauet dér. Det vil ikke længere være nok at acceptere, at der kan ske videreoverførsel fra et tredjeland til et andet tredjeland på et eller flere af de tilgængelige grundlag, jf. svar nr. 9:

“The Court has indicated that SCCs as a rule can still be used to transfer data to a third country, however the threshold set by the Court for transfers to the U.S. applies for any third country.”

Hvad gør EU selv med egne it-systemer?

De gør foreløbigt ikke det store – de afventer deres egen analyse af dommen. European Data Protection Supervisor, som blandt andet er Datatilsyn for EUs egne institutioner, udtaler således følgende:

“As the supervisory authority of the EU institutions, bodies, offices and agencies, the EDPS is carefully analysing the consequences of the judgment on the contracts concluded by EU institutions, bodies, offices and agencies.”

Men noget må de gøre. For Supervisoren har netop også afsluttet en større undersøgelse af EUs brug af Microsofts services, som påviste en del problemer.

Hvad kommer der til at ske nu?

Mit gæt er, at databehandlerne snart skriver til de dataansvarlige, at data nu er flyttet til EU. Derefter går databehandlerne i gang med at finde ud af, hvordan data så rent faktisk flyttes til EU. I mellemtiden har de forskellige tilsyn nok alligevel travlt med at rejse til møder og klø sig i nakken.

Men den enkelte databehandler kan nok alligevel ikke vente på, at det europæiske datacenter, GAIA-X, bliver færdigt. Formålet med projektet er netop, at data skal forblive på europæiske hænder:

“Data sovereignty: Existing cloud offerings are currently dominated by non-European providers, that are able to rapidly scale their infrastructure, and that hold significant market power and large amounts of capital. At the same time, we are seeing growing international tensions and trade conflicts across the globe. Europe needs to ensure that it can establish and maintain digital sovereignty permanently.”

Indtil da må vi – som altid – gøre vores bedste for at finde balancen mellem efterlevelse og tålegrænsen for almindeligt juridisk, teknisk og organisatorisk besvær. Der er mange muligheder, der skal risikovurderes, kontrakter der skal tjekkes efter og formentlig data, der skal flyttes – det hjælper vi jer gerne med.

Microsofts (under-)databehandlere – har du styr på dem?

I forlængelse af Unitas’ blog-post omkring tilsyn af databehandlere, kan vi oplyse om, at det nu er muligt at abonnere på listen over Microsofts (under-)databehandlere.

Microsoft skal først have ros for tilbage i september 2019 at skære MARKANT ned på antallet af deres (under-)databehandlere. Nu er listen langt mere overskuelig.

Men hvad så, når der sker ændringer på listen? Nu kan du abonnere på listen. Klik ind på https://www.microsoft.com/da-dk/trust-center/privacy/data-access

Vælg dernæst i bunden af teksten ‘Lister over subprocessorer’ og klik på linket ‘Listen over…’ som vist på billedet.

Listen hentes direkte i en PDF-fil, som du kan åbne med det samme…

Tilbage i browseren vælger du i toppen af billedet ‘My Library’ (log evt. ind hvis du bliver bedt om det med din M365 konto).

Du kan nu vælge, hvilke dokumenter du vil abonnere på, herunder også den famøse liste over underdatabehandlere.

Klik på ‘Notification Settings’ og angiv, hvor ofte du vil underrettes. Voila! Det var det.

Screener du eller fører du tilsyn med din leverandør af it-ydelser?

Med de mange regler, der gælder i dag, giver det rigtig god mening at foretage en screening af såvel nuværende som nye IT-leverandører. Forestil dig, at du skal bruge en ny leverandør af et administrativt system til din virksomhed. Hvilke parametre vælger du efter i dag?

  • Pris
  • De har et godt ry
  • Jeg har brugt dem før
  • De har branchekendskab

Argumenter, der kan være ganske udmærkede. Men måske du skulle kigge dem lidt mere efter i sømmene.

I forbindelse med de tilsyn af leverandører/databehandlere, som Unitas udfører for en række kunder, står det klart, at ikke alle leverandører endnu er vågnet helt op til de moderne krav, man som kunde bør og skal stille til sin leverandør. Derfor har Unitas udarbejdet en procedure for tilsyn samt et tilsynsskema, der også i GDPR-sammenhæng sikrer dig, at du vælger en sikker leverandør.

En sikker leverandør er en leverandør, der har styr på sine interne politikker, retningslinier, tekniske og organisatoriske foranstaltninger, hvor data opbevares, om usikre 3. lande benyttes, om din databehandler foretager tilstrækkeligt tilsyn med evt. underdatabehandlere m.m.

Ved at anvende tilsynsskemaet får du hurtigt et billede af, hvor seriøs leverandørerne er omkring sikkerhed. Det er sikkerhed om dig og dine medarbejdere eller kunders data, det drejer sig om. Og det er dig, der er ansvarlig for disse data. Derfor er det uhyre vigtigt for dig som dataansvarlig, at du vælger de rette leverandører.

Har du eksisterende leverandører, som du vil have kontrolleret, benyttes samme procedure. Måske det er tid til en snak med din leverandør ud fra de svar, du modtager?

Leverandørerne vil helt sikkert blive udfordret. Men det er dagens konkurrenceparameter, og man finder meget hurtigt ud af, om man har sine æg i en sikker eller usikker rede.

Unitas håber med dette at kunne hjælpe dig og din virksomhed med såvel databeskyttelse som med at lette opgaven at føre tilsyn med databehandlerne. Jo mere databehandleren tager sin opgave seriøst, jo nemmere får du det.

Er du en del af en større virksomhed med separat indkøbs- eller sourcingafdeling, kan du med fordel dele dette indlæg med dine kollegaer i de afdelinger, da det i høj grad også berører dem.

Har du behov for assistance med at foretage screening af nye leverandører eller tilsyn med eksisterende leverandører, er du meget velkommen til at henvende dig.

Tid til fordybelse – COVID-19

Som videnarbejder er du sandsynligvis vant til at arbejde hjemmefra af og til. Men nok ikke alle ugens dage.

Her efter en uge har du sandsynligvis – ligesom vi – fundet ud af, at det kræver noget af os, som vi måske ikke er vant til i helt samme omfang.

Men for mange giver det også mulighed for fordybelse og koncentration til at løse nogle opgaver, som det ellers kan være svært at finde tid og rum til.

I UNITAS bruger vi fx tiden mellem kundeopgaver på at optimere og opdatere vores serviceydelser. Det næste er en version 2 af vores inspektionsrapport, der på mange måder kan sidestilles med en ISAE3000-erklæring. Men som udmærker sig ved at have et større fokus på selve den teknisk implementering af sikkerhedsforanstaltninger – vi har flere elementer fra ‘under motorhjelmen’ end fra helikopteren, og dermed bliver inspektionen meget konkret og brugbar. Vi laver ikke bare et “flyover” – vi lander og fikser det!

UNITAS anbefaler, at du bruger tiden på en række GDPR-relaterede opgaver. De er endda lovpligtige, hvorfor du allerede nu har din begrundelse for at få en tidsregistreringskode på plads og dermed et sted at parkere dine timer 😉

De opgaver, som du med fordel kan bruge kvalitetstid på, er bl.a.:

  • Tilsyn af databehandlere
  • Sikre at de databehandleraftaler, din virksomhed har indgået, også er indgået og gyldige
  • Tjek om der er sket ændringer i de dokumenterede behandlingsaktiviteter og opdatere dokumentationen
  • Review af risikovurderinger – ikke mindst vedrørende folks fjernforbindelser, som er udsatte for tiden
  • Følge op på om evt. kortlagte gaps ved seneste risikovurdering er lukket eller få lagt en plan for at få dem lukket
  • Læse op på hvilke nye krav og vejledninger, der er kommet, siden databeskyttelsesforordningen fandt anvendelse den 25. maj 2018 – og ja, der er sket en hel del!
  • Få udført de kontroller, som du godt ved skulle have været udført, men ikke lige fundet tid til i en travl hverdag
  • Træn dine medarbejdere i it-sikkerhed – hvis det halter for dig og virksomheden, kan I med fordel se på en leverandør af enkelt online-træning som Cyber Pilot der leverer økonomisk overskuelig træning hurtigt og fuldt integreret med Azure AD (brugerintegration)

… der er nok at se til, så det er bare at komme i gang!

Og skulle du få brug for råd, vejledning eller ressourcer til selve gennemførelsen, hører vi naturligvis gerne fra dig.

Rigtig god arbejdslyst!

Lidt om indsigtsanmodning og en nem 1-2-3 guide

Antallet af indberetning af brud på GDPR stiger støt. Vi kan nu konstatere, at mere end 5.000 indberetninger i DK har fundet sted det første år. Ser vi på 2018 alene var det 3.100 indberetninger. Langt under de 15.400 i Holland, men alligevel en del.

Hvordan håndterer du egentlig en indsigtsanmodning? Dem, der nu har prøvet det, ved godt, hvad der skal ske. I hvert fald til næste gang. Men alle jer, der endnu ikke har været udsat for en anmodning fra en tidligere ansat, en kunde i jeres webshop eller andre, har noget i vente. Det er derfor en god idé at være beredt.

Det er heldigvis ikke raketvidenskab. Datatilsynet har naturligvis formuleret en vejledning, der er så blød i kanterne, at det ikke nødvendigvis for almindelige mennesker kan omsættes til pragmatik. Men det kan deres skabeloner – de er tilpas nemme og alligevel grundige.

Vi giver dig derfor en kort guide her, som gør det muligt for dig og din virksomhed – lille som stor – at besvare en henvendelse.

  1. Når din virksomhed modtager en henvendelse, skal du på forhånd have udpeget, hvem der skal være ansvarlig for behandling af henvendelsen. Brug gerne en dedikeret e-mail adresse til formålet som f.eks. persondata@virksomhed.dk
  2. Start med at besvare mailen med en bekræftelse og at du ønsker en mere klar identifikation af afsenderen. Bed om information, som kun afsenderen kan kende til. Er det en tidligere medarbejder, kan et medarbejdernummer samt et nyligt billede af vedkommende bruges. Er det en webshop-kunde kan kundenummer samt f.eks. en kopi af seneste faktura være en mulighed. Bed ikke om mere end nødvendigt, men nok til at du er sikker på identiteten på den person, der henvender sig. Ring evt. vedkommende op.

    Husk at kommunikere via en krypteret forbindelse. Måske du har mulighed for at benytte en tredjepartsløsning som eksempelvis Sikker Post, Outlook-kryptering eller andet.
  1. Når afsenderen henvender sig igen med fornøden dokumentation, skal du besvare med hvilke typer af data, som du ligger inde med. Vi fortsætter med eksemplet med en tidligere medarbejder, der er fratrådt for 3 år siden.

Anvend gerne denne standardskabelon https://www.datatilsynet.dk/media/6889/bilag_a_og_b_-_skabeloner_til_oplysningspligt_og_indsigtsret.docx fra Datatilsynet for besvarelse. Den sikrer den rette oplysningspligt, og hjælper dig samtidig til, at komme hele vejen omkring.

Du har sandsynligvis allerede udarbejdet din artikel 30-fortegnelse (selve databahendlingsdokumentationen for hvilken behandling virksomheden foretager, formål, opbevaringsperiode, lovhjemmel etc.). Her kan du finde frem til, hvor du har informationer om tidligere medarbejdere. Typisk en personalemappe der indeholder en kopi af ansættelseskontrakten, kopi af timesedler, lønsedler etc.

  1. I skabelonen fra Datatilsynet fylder du nu informationer i om, hvilke data virksomheden ligger inde med. Og nu er det altså vigtigt – du skal være ærlig! Så har du dokumenteret og tidligere oplyst dine medarbejdere om, at I gemmer timesedler i 24 måneder, men her efter 36 måneder stadig har kopier liggende. Ja, så SKAL du altså oplyse dette. Bagefter kan du så få dem slettet/makuleret hurtigst muligt.
  2. Du skal sikre dokumentationen i et maskinlæsbart format. Det kan f.eks. være PDF-filer. Har du derfor fysiske timesedler liggende, skal de scannes og gemmes som PDF, som du vedlægger til modtageren.
  3. Send den samlede information til afsender og afvent evt. videre forløb.

Du har i første omgang en måned til at besvare henvendelsen. Dog skal det helst ske uden unødig forsinkelse.

Ovenstående er en simpel tilgang, men klarer jobbet.

Skal du have hjælp til at have ovenstående beredskab på plads – såvel skabeloner, procedure som teknisk implementering af sikker kommunikationsløsning – er du meget velkommen til at henvende dig.

Har Facebook et ansvar for din ulovlige markedsføring?

Til overvejelse: Når du sender målrettede reklamer gennem Facebook, skal du overholde markedsføringslovens § 3 (erhvervsdrivende skal udvise god markedsføringsskik under hensyntagen til forbrugere, erhvervsdrivende og almene samfundsinteresser). Det siger Forbrugerombudsmanden. Overtræder du alligevel reglerne, skal Facebook så gøre dig opmærksom på det i henhold til databeskyttelsesreglerne?

Det kan være konsekvensen af følgende forordningsbestemte vilkår i Datatilsynets standard for databehandleraftaler:

Databehandleren underretter omgående den dataansvarlige, hvis en instruks efter vedkommendes mening er i strid med denne forordning eller databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret.

Hvis Facebook ikke benytter Datatilsynets standard, burde vilkåret om databehandlerens underretningspligt ved ulovlig instruks alligevel være en del af databehandleraftalen, da underretningspligten som nævnt er forordningsbestemt, jf. artikel 28(3, andet afsnit).

Underretningspligten omfatter herefter instrukser i strid med “databeskyttelsesbestemmelser i […] medlemsstaternes nationale ret”.

Markedsføringslovens § 3 beskytter netop efter lovbemærkningerne “forbrugerens personlige integritet” og “privatlivets fred”. Så markedsføringslovens § 3 omhandler vel også databeskyttelse?

Er Facebook her databehandler, og handler markedsføringslovens § 3 også om databeskyttelse, skulle Facebook efter alt at dømme nok have kommet Forbrugerombudsmanden i forkøbet og underrettet annoncøren om den mulige overtrædelse.

Er Facebook i stedet dataansvarlig, må Facebook formentlig sidestilles med den, der overtræder markedsføringslovens § 3. Det er nok ikke en position, Facebook ønsker. Så hellere være databehandler i denne sammenhæng.

Og når nu vi er i gang skal e-handelslovens § 16(1) også med. Der står nemlig noget om ansvar for indholdet på sin hjemmeside:

En tjenesteyder er ikke ansvarlig for oplagring af information eller for indholdet af den oplagrede information, når oplagringen sker på anmodning af en tjenestemodtager, der har leveret informationen, og hvis tjenesteyderen

1) ikke har kendskab til den ulovlige eller skadevoldende aktivitet eller information og, for så vidt angår erstatningskrav, ikke har kendskab til forhold eller omstændigheder, hvoraf den skadevoldende aktivitet eller information fremgår, eller

2) fra det tidspunkt, hvor tjenesteyderen får et kendskab som nævnt i nr. 1, straks tager skridt til at fjerne informationen eller hindre adgangen til den.

Det er lidt knudret. Men udgangspunktet er faktisk, at man er ansvarlig for det indhold, der ligger på ens hjemmeside. Så kan man være fritaget for ansvaret under visse betingelser.

I det her tilfælde er Facebook efter ordlyden kun fritaget for ansvar, hvis de ikke havde kendskab til det ulovlige indhold (den ulovlige markedsføring), eller hvis de havde kendskab ikke tog skridt ( i tide) til at fjerne eller hindre adgangen. Og det er jo så en vurderingssag.

Under alle omstændigheder er det sidste nok ikke skrevet om sammenhængen mellem databeskyttelsesreglerne, e-handelsloven og markedsføringsloven. Den kan de jo tage videre med i kantinen i Valby, hvor både Datatilsynet og Forbrugerombudsmanden har til huse på Carl Jacobsens Vej.

De kan passende starte med at drøfte, om og i givet fald i hvilket omfang artikel 28(3, andet afsnit), der udrykkeligt henviser til artikel 28(2h) om tilsyn, vitterligt skal forstås som fastlagt i Datatilsynets standard og som gengivet ovenfor.

BREXIT – Sådan gør du det enkelt

Brexit means Brexit. Og ud kom de. Endelig. Så nu tør vi godt skrive lidt om, hvad Brexit betyder i forhold til databeskyttelsesreglerne.

I aftalen mellem EU og Det Forenede Kongerige/UK fremgår det, at 2020 er en overgangsperiode, hvor EUs regler fortsat gælder i UK. Se således artiklerne 126 – 127:

Artikel 126:

Der er en overgangs- eller gennemførelsesperiode, som starter på dagen for denne aftales ikrafttræden og slutter den 31. december 2020.

Artikel 127(1):

Medmindre andet er fastsat i denne aftale, finder EU-retten anvendelse på og i Det Forenede Kongerige i overgangsperioden.

Artikel 127(3):

I overgangsperioden har den EU-ret, som finder anvendelse i henhold til stk. 1, samme retsvirkninger over for og i Det Forenede Kongerige som i Unionen og dens medlemsstater, og den fortolkes og anvendes i overensstemmelse med de samme metoder og generelle principper, som finder anvendelse i Unionen.

Hvad gælder i overgangsperioden i 2020?

Alt er som det plejer at være. UK er ikke et tredjeland efter GDPR i 2020. Så du skal i 2020 eksempelvis ikke oplyse om, at du eventuelt overfører data til UK:

Während des Übergangszeitraums würde Großbritannien also nicht als Drittland im Sinne von Kapitel V DS-GVO gelten, so dass Verantwortliche oder Auftragsverarbeiter in der EU, die personenbezogenen Daten in den Inselstaat übermitteln, die einschlägigen Vorschriften nicht anwenden müssten.

Du skal heller ikke bruge EU-Kommissionens standardbestemmelser om databeskyttelse (Standard Contractual Clause) for at føre data til UK.

Hvad gælder efter overgangsperioden?

Da UK nu er ude af EU, kan EU gå i gang med at undersøge, om databeskyttelsen i UK er tilstrækkelig. Det fremgår af side 4 i “Political Declaration setting out the framework for the future relationship between the European Union and the United Kingdom” (fremhævet med fed):

The Union’s data protection rules provide for a framework allowing the European Commission to recognise a third country’s data protection standards as providing an adequate level of protection, thereby facilitating transfers of personal data to that third country. On the basis of this framework, the European Commission will start the assessments with respect to the United Kingdom as soon as possible after the United Kingdom’s withdrawal, endeavouring to adopt decisions by the end of 2020, if the applicable conditions are met.

I UK vil man samtidig sørge for, at det også er nemt at overføre personoplysninger til EU:

Noting that the United Kingdom will be establishing its own international transfer regime, the United Kingdom will in the same timeframe take steps to ensure the comparable facilitation of transfers of personal data to the Union, if the applicable conditions are met.

Med lidt held burde tingene passe sammen omkring årsskriftet 2021: EU har godkendt UK som et sikkert tredjeland, og UK har gjort det let at overføre personoplysninger til EU.

Sådan finder du ud af, om du har databehandling i UK i 2021

I hvert fald fortegnelser, risikovurderinger og oplysningsmeddelelser skal opdateres, hvis du efter 2021 har behandling i UK.

Hvis man sender personoplysninger til UK som dataansvarlig, burde det være ret enkelt at kortlægge: Har man modtagere, herunder datterselskaber, i UK eller ej?

Man kan som dataansvarlig også have behandling i UK gennem sine databehandlerkæder. Det kan være lidt knudret at finde ud af: Måske har underdatabehandleren ikke behandling af dine data i UK, men så kan det være, at underdatabehandlerens databehandler har det.

Ved det lejlighedsvise tilsyn med dine databehandlere kan du derfor bede om, at de oplyser, om de har kendskab til behandling i UK længere nede i behandlerkæden.

Det kan være ganske svært at komme til bunds i, om slutbehandleren behandler personoplysninger på dine vegne i UK eller ej. Bruges tilsynet imidlertid som værktøj, kan man da i hvert fald komme godt i gang – og det må kunne nås inden 2021.

KL vs. Datatilsynet: Opgaverne skal samles – og lad være med at bruge samtykke som grundlag

Kampen endte uafgjort: Forståelige frustrationer blev mødt af gode svar.

Udover at elever ikke skal klippes ud af billeder, når de skifter skole, fik vi klarlagt endnu engang, at samtykke altid er den værst tænkelige hjemmel. Brug noget andet – hvad som helst andet, bare brug noget andet. Eksempelvis myndighedsudøvelse.

Offentlige myndigheder bør ganske enkelt aldrig tænke samtykke først, men altid starte i hjemlen myndighedsudøvelse. Ofte må det således antages, at særlovgivning på social-, skole- eller serviceområdet må antages at være fuldt ud tilstrækkeligt til, at der kan behandles de personoplysninger, der er relevante og nødvendige for at udføre de opgaver, som er formålet med særlovgivningen.

Og så var budskabet centralisér! Centralisér internt, så det aldrig er den enkelte sagsbehandler, der skal tage stilling til GDPR, risikovurderingen og hvad der skal behandles:

Det bør efter Datatilsynets opfattelse ikke være den enkelte pædagog, sundhedsplejerske eller sagsbehandler, der har til opgave at dokumentere lovlig håndtering af borgernes data. Kommunen må sørge for, at korrekt behandling af personoplysninger i det daglige arbejde understøttes såvel teknisk som organisatorisk.

Datatilsynet gjorde også opmærksom på, at KL bør går forrest med et adfærdskodeks, så kommunerne føler sig mere trygge i den daglige anvendelse af forordningen:

En mulighed er også, at KL udarbejder et adfærdskodeks. Et adfærdskodeks er et sæt retningslinjer, som skal bidrage til at sikre, at de myndigheder, der tilslutter sig kodekset, anvender databeskyttelsesreglerne korrekt.

I forhold til databehandlerne var budskabet også centralisér: Det gælder især indgåelse af databehandleraftaler og tilsyn og kontrol. KL kan her gøre en del. Så bolden tilbage på KLs banehalvdel. KL angiver:

Kommunerne oplever det voldsomt resursekrævende at følge GDPR-kravet om, at de selv – eller dyre revisorer på deres vegne – skal føre tilsyn med deres databehandlere. For hver enkelt kommune er der tale om flere hundrede aftaler. Desuden skal mange kommuner føre nøjagtigt den samme kontrol med samme databehandler, hvilket ikke øger datasikkerheden.

Svaret fra Datatilsynet synes at ligge lige for:

Når man behandler personoplysninger, og særligt når disse videregives til andre, herunder databehandlere, medfølger et ansvar, f.eks. at føre tilsyn med sine databehandlere. Dette er et specifikt krav efter forordningen. For at lette dette arbejde har Datatilsynet har udgivet en vejledning specifikt relateret til tilsyn med databehand-lere. Det fremgår bl.a. af tilsynets vejledning, at den dataansvarlige med fordel kan tilrettelægge sit tilsyn på baggrund af den risikovurdering, som den dataansvarlige har foretaget. Hvor ofte og hvordan der skal føres tilsyn med databehandlere kan derfor variere alt efter risikoen for borgernes rettigheder og frihedsrettigheder. Også i denne sammenhæng bifalder Datatilsynet et eventuelt samarbejde myndighederne imellem.

Hvis kommunerne lige præcis vil have mere tid til de varme opgaver, må man opfordre til at pulje de kolde. Derefter er det også nemmere at pege på, at regningen skal sendes videre til staten, da udgiften på det kolde netop ikke er defineret af serviceniveau og lokale beslutninger, men af lovgivning der kommer langvejs fra. Men det kan nu også være os, der her er for excelarksoptimistiske. Centralisering af it er som regel ikke så let endda.

Men her skal man dog huske, at der ikke er tale om centralisering af it i traditionel forstand. Det er blot compliancedelen, der skal samles. Og det skal kunne lade sig gøre. Det kan ske helt lavpraktisk ved at dele oplysninger digitalt – det kan også ske ved at oprette en særlig GDPR-shared service for kommunerne med en fast defineret opgaveportefølje.

Som overalt hvor compliance dukker op I horisonten, når man har outsourcet it (uden at overveje compiancekonsekvenser), går det op for en, at teknikerne i kælderen hurtigt skal erstattes af slipsedyr på gangene. Ingen har sagt det skulle være let – og det bliver det aldrig. Det er bare at komme I gang!