Vi skal alle lave gummifigurer
Min mindste datter kom en dag hjem fra børnehaven og viste mig en brunlig figur, hun havde lavet i skolen. Figuren var sådan lidt uniteressant som den stod der på køkkenbordet, men man klapper jo, som man skal som far. Hvad folkeskolen siger er altid rigtigt, og jeg skulle ikke lægge mig ud med en skolelærer for slet ikke at tale om en pædagog.
Figuren var lavet af genbrugsgummi fra cykeldæk, og børnene skulle lave dem for at redde klodens klima. Genbrug er jo vejen frem, og det er jo også rigtigt nok.
Lærerne fik dog i den bedste mening efter min opfattelse skubbet det største problem ud til dem, der reelt har mindst indflydelse på det.
Det er lidt det samme i Schrems II-sagen. Problemet ligger nu hos samtlige af de CVR-numre, der eksempelvis mere eller mindre direkte køber cloudtjenester i USA eller i andre tredjelande.
Jeg vil ikke gennemgå dommen her. Det er gjort bedre andre steder. Jeg vil i stedet fokusere på Databeskyttelsesrådets seneste FAQ. Der er foreløbigt svaret på 12 spørgsmål.
Indenfor grænserne af tåleligt juridisk, teknisk og organisatorisk besvær må man samlet set sige, at USA som udgangspunkt på nuværende tidspunkt er et tredjeland, man ikke kan overføre persondata til. Det generelle beskyttelsesniveau i landet er for lavt. Og man kan ikke risikovurdere sig ud af det. Der er således en bundgrænse, man ikke kan risikovurdere sig over.
Har man uanede mængder af ressourcer, er jeg ikke engang sikker på, at man kan komme i mål med det, for hvordan skal man kontraktuelt sikre det samme beskyttelsesniveau i USA som i EU? Det er en opgave EU må slås med overfor USAs regering, herunder ved flere forskellige bilaterale forhandlinger alt efter hvem der har noget at trykke med.
I stedet skal vi nu alle til at lave figurer af brugte cykeldæk. Vi skal alle hver især til at sikre, at USAs regering ikke ligger på bunden af Atlanterhavet og lytter med på datatrafikken fra Europa.
Undtagelsesvis kan der ske overførsel til USA med hjemmel i Artikel 49, men det er i sig selv temmelig besværligt at bruge en af undtagelserne (læs: Vi kommer nemt over tålegrænsen for almindeligt juridisk, teknisk og organisatorisk besvær). Og ingen af undtagelserne afhjælper det reelle behov for overførsel til især USA, som temmelig mange dataansvarlige og databehandlere har.
I arbejdssammenhæng dækker undtagelserne dog, at en medarbejder i en dansk virksomhed mailer engang i mellem med en medarbejder i en amerikansk virksomhed, men der skal nok ikke meget til, før rammerne i undtagelsen sprænges. Man kan som global virksomhed eksempelvis ikke længere lave løn centralt i USA. Jo bevares, det kan man da, men så skal man sikre, at beskyttelsesniveauet er det samme som i EU. Og så er det min påstand, at rammerne for tåleligt juridisk, teknisk og organisatorisk besvær let sprænges.
Grænsen for tåleligt juridisk, teknisk og organisatorisk besvær
Er man dataansvarlig eller databehandler med behandlingsaktiviteter i USA eller et andet tredjeland, må det juridiske råd lyde: Hyr et globalt advokatfirma, der kan tjekke op på beskyttelsesnivauet i de tredjelande, hvor du har persondata til behandling. Er man et globalt firma, kan man sætte juridisk afdeling i de forskellige lande i sving. Du kan også overveje at flytte persondatabehandlingen til EU, da grænsen for, hvor meget mere det må koste, lige har flyttet sig. Og så må man tage det på en prisstigning eller en anmodning om en ekstrabevilling. I sidste ende havner regningen hos kunden/skatteborgeren.
Kan man under ingen omstændigheder trække sine behandlingsaktiveter til EU (inklusiv support, udvikling og beredskabshændelser), og man har ikke lyst til at hyre det globale advokatfirma, må man – uanset overførselsgrundlag – gennemføre de nødvendige juridiske analyser fra skrivebordet, fortsætte med behandlingen og så satse på, at man ikke bliver taget i det, og hvis det sker, satse på at man har lavet en ok god analyse, der viser, at man da var i god tro om et givet tredjelands beskyttelsesniveau. Det ligger dog nok lidt tungt at slippe afsted med det i forhold til USA, med mindre vi får ny lovgivning derovre.
Det ville således være en stor hjælp, hvis Databeskyttelsesrådet lavede en “blacklist”, som kunne bruges til at vise, hvilke lande der er stærkt tvivlsomme at overføre til. Her ville så USA lige nu stå øverst. Så var der da et godt udgangspunkt at arbejde videre med, når de forskellige lande juridisk set var fortygget af Databeskyttelsesrådet – ikke mindst i forhold til afgørelse af, hvorfra man med sikkerhed skal få sine data til EU hurtigst muligt. Man ville have en slags negativliste som modstykke til listen med de sikre tredjelande, der kan siges at være positivlisten.
Under alle omstændigheder er det slået fast, at enhver dataansvarlig, der ikke tager sine behandlingsaktiviteter til EU, skal kende til slutbehandlerens nationalitet i et givent tredjeland, så man kan vurdere beskyttelsesniveauet dér. Det vil ikke længere være nok at acceptere, at der kan ske videreoverførsel fra et tredjeland til et andet tredjeland på et eller flere af de tilgængelige grundlag, jf. svar nr. 9:
“The Court has indicated that SCCs as a rule can still be used to transfer data to a third country, however the threshold set by the Court for transfers to the U.S. applies for any third country.”
Hvad gør EU selv med egne it-systemer?
De gør foreløbigt ikke det store – de afventer deres egen analyse af dommen. European Data Protection Supervisor, som blandt andet er Datatilsyn for EUs egne institutioner, udtaler således følgende:
“As the supervisory authority of the EU institutions, bodies, offices and agencies, the EDPS is carefully analysing the consequences of the judgment on the contracts concluded by EU institutions, bodies, offices and agencies.”
Men noget må de gøre. For Supervisoren har netop også afsluttet en større undersøgelse af EUs brug af Microsofts services, som påviste en del problemer.
Hvad kommer der til at ske nu?
Mit gæt er, at databehandlerne snart skriver til de dataansvarlige, at data nu er flyttet til EU. Derefter går databehandlerne i gang med at finde ud af, hvordan data så rent faktisk flyttes til EU. I mellemtiden har de forskellige tilsyn nok alligevel travlt med at rejse til møder og klø sig i nakken.
Men den enkelte databehandler kan nok alligevel ikke vente på, at det europæiske datacenter, GAIA-X, bliver færdigt. Formålet med projektet er netop, at data skal forblive på europæiske hænder:
“Data sovereignty: Existing cloud offerings are currently dominated by non-European providers, that are able to rapidly scale their infrastructure, and that hold significant market power and large amounts of capital. At the same time, we are seeing growing international tensions and trade conflicts across the globe. Europe needs to ensure that it can establish and maintain digital sovereignty permanently.”
Indtil da må vi – som altid – gøre vores bedste for at finde balancen mellem efterlevelse og tålegrænsen for almindeligt juridisk, teknisk og organisatorisk besvær. Der er mange muligheder, der skal risikovurderes, kontrakter der skal tjekkes efter og formentlig data, der skal flyttes – det hjælper vi jer gerne med.