De fleste organisationer (offentlig + privat) overfører personoplysninger udenfor EU. Det sker ikke mindst typisk, hvis de bruger services fra Microsoft. Men det kan også sagtens ske gennem andre, mindre cloudværktøjer.
Da der mod forventning er begyndt at dukke afgørelser op rundt omkring i EU, der rent faktisk tager Schrems II alvorligt ved at påbyde ophør af overførsel, bør man som CEO/direktør bede sin it-ansvarlige sætte sig ned og på forretningens vegne stille følgende spørgsmål som led i forretningsrisikovurderingen:
- Er det sandsynligt indenfor 1 år, at vores lokale tilsynsmyndighed kommer hos os og kigger?
- Hvis nej (da datatilsynene generelt er tilbageholdende på området) gør ingenting. Hvis ja, gå videre.
- Har vi forretningskritiske systemer, der overfører personoplysninger udenfor EU?
- Hvis nej, gør ingenting, da I kan holde til et forbud. Hvis ja, gå videre.
- Læg spørgsmål vedrørende supplerende foranstaltninger/supplementary measures ind i dit tilsynsskema. (Har du ikke et sådan skema, hjælper vi dig gerne med det.)
- Er du mere modig, og du er kommet hertil, så vent. Databehandlerne skal nok komme med deres supplerende foranstaltninger. De vil jo gerne have din forretning. Microsoft har deres på plads. Om de holder, må tiden vise, men du kan næppe gøre mere ved det.
Og husk nu, at hvis der intet står i din databehandleraftale om overførsel (du har ikke sagt ok til overførsel og ikke godkendt underdatabehandlere udenfor EU), har du dit på det tørre, selvom eksempelvis AWS er underdatabehandler, og du har en stærk formodning om, at der reelt sker slutbehandling udenfor EU ved support, udvikling og beredskabshændelser.
Og så nægter vi i Unitas at kommentere denne skævert, da Schrems II-apparatet næppe skal sættes i værk, alene fordi der er tale om amerikanskejede europæiskplacerede servere.
Unitas har tidligere skrevet om overførsel til tredjelande.