Journalnummer: 2022-212-3529
Resume
Kort efter udgivelsen af Datatilsynets vejledning om cloud henvendte KOMBIT sig til Datatilsynet med et konkret spørgsmål foranlediget af vejledningens afsnit om udlevering af oplysninger til myndigheder i tredjelande.
Konkret drejer det sig om, at KOMBIT – der leverer systemet Aula til de danske kommuner – benytter Netcompany som underleverandør, som igen benytter Amazon Web Services (AWS) som underleverandør.
Ifølge KOMBIT behandles oplysningerne som udgangspunktet inden for EU/EØS, men det fremgår samtidig af databehandleraftalen mellem Netcompany og AWS, at dette kan fraviges, hvis det er nødvendigt for at leve op til lovgivningen eller en bindende afgørelse fra en offentlig myndighed. Spørgsmålet består i, om der – hvis AWS bringer undtagelsen i spil – er tale om en tilsigtet eller utilsigtet overførsel til tredjelande. Svaret er afgørende for, om kommunerne skal iagttage kravene om overførsler til tredjelande, eller om der er tale om et spørgsmål om passende behandlingssikkerhed.
Kort sagt vil der i Datatilsynets øjne være tale om en tilsigtet tredjelandsoverførsel. Derfor skal kommunerne sikre sig, at reglerne om overførsler til tredjelande overholdes, når eller hvis AWS foretager sådanne overførsler i henhold til den instruks, der fremgår af databehandleraftalen. Samtidig lægger Datatilsynet op til en videre dialog med KOMBIT om håndteringen af denne problemstilling.
Besvarelse af forespørgsel
1. Henvendelsen
KOMBIT har den 10. marts 2022 henvendt sig til Datatilsynet med et spørgsmål om overførsel af personoplysninger til tredjelande i forbindelse med brugen af Amazon Web Services (”AWS”) som databehandler.
KOMBIT leverer it-systemet Aula til landets kommuner. Aula er den fælles kommunikationsplatform for medarbejdere, forældre og elever på landets folkeskoler og dagtilbud.
KOMBIT har i sin henvendelse beskrevet databehandlerkonstruktionen, som ligger til grund for leveringen af Aula til kommunerne. Datatilsynet har på baggrund af KOMBITs beskrivelse opsummeret konstruktionen i figur 1 nedenfor.
Endvidere har KOMBIT anført, at databehandleraftalen er indgået med Amazon Web Services EMEA Sarl, der er beliggende i Luxembourg, ligesom KOMBIT har fremsendt en kopi af databehandleraftalen.
KOMBIT har derudover overordnet nærmere redegjort for databehandleraftalen med AWS og har herunder anført følgende:
”Ved brugen af AWS’ services vælger kunden, hvilken AWS-region data skal behandles i. En AWS-region er en geografisk afgrænset samling af datacentre. Aula er sat op til Irlands-regionen, og AWS’ databehandling sker således som udgangspunkt indenfor denne region og dermed indenfor EU/EØS.
I vedhæftet AWS GDPR Data Processing Addendum (AWS standarddatabehandleraftale) fremgår følgende under punkt 12 ”Transfer of Personal Data”:
“12.1 Regions. Customer may specify the location(s) where Customer Data will be processed within the AWS Network, including the EU (Dublin) Region, the EU (Frankfurt) Region, the EU (London) Region and the EU (Paris) Region (each a “Region”). Once Customer has made its choice, AWS will not transfer Customer Data from Customer’s selected Region(s) except as necessary to provide the Services initiated by Customer, or as necessary to comply with the law or binding order of a governmental body. If the Standard Contractual Clauses apply, nothing in this Section varies or modifies the Standard Contractual Clauses.”
Selvom Aula er sat op til Irlands-regionen, vil der således i henhold til punkt 12.1 i AWS’ standarddatabehandleraftalen kunne ske overførsel af data uden for den valgte regioner (og dermed også potentielt overførsel til tredjelande) i følgende situationer:
- Hvis det er nødvendigt for levering af visse specifikke AWS services valgt af servicebrugeren
- Hvis det er nødvendigt for at overholde lovgivning eller bindende myndighedsanmodninger
Det er ved gennemgang af de anvendte AWS services konstateret, at der ikke anvendes specifikke AWS services uden for den valgte region, og at der derfor ikke sker overførsel af personoplysninger til tredjelande i forbindelse med leveringen af visse specifikke AWS services på Aula.
Spørgsmålet til Datatilsynet er derfor afgrænset til nr. 2 og betydningen af følgende formulering i AWS’ databehandleraftale: ”Once Customer has made its choice, AWS will not transfer Customer Data from Customer’s selected Region(s) except […] as necessary to comply with the law or binding order of a governmental body.”.
Spørgsmål
Datatilsynets vejledning om overførsel af personoplysninger til tredjelande fra juli 2021 (3. udgave) indeholder et eksempel 10 om netop udlevering af personoplysninger efter anmodning fra myndigheder i tredjelande.
I eksemplet angives det, at ”Hvis databehandleren vælger at overføre personoplysninger til tredjelandet i strid med databehandleraftalen, vil der være tale om en utilsigtet overførsel, og det betyder, at databeskyttelsesforordningens regler om overførsel til tredjelande ikke finder anvendelse i forhold til den dataansvarlig”.
I Datatilsynets nye vejledning om cloud (marts 2022), afsnit 3.6 (navnlig eksempel 14), er denne situation også omtalt:
”Som det fremgår af pkt. 2 i ovenstående eksempel, er den ovennævnte problemstilling således efter Datatilsynets opfattelse et spørgsmål om passende behandlingssikkerhed, hvor du som den dataansvarlige bl.a. skal sikre, at personoplysninger ikke utilsigtet kommer til uvedkommendes kendskab. Du skal i den forbindelse være opmærksom på, at hvis din (europæiske) cloudleverandør – som din databehandler – imødekommer en anmodning fra retshåndhævende myndigheder i et tredjeland, vil være tale om et brud på persondatasikkerheden for dit vedkommende. Det skyldes, at der i så fald sker en uautoriseret videregivelse af personoplysninger til den pågældende myndighed.”
Kan Datatilsynet be- eller afkræfte, om der vil være tale om en utilsigtet overførsel, hvis muligheden for overførsel af personoplysninger til myndigheder, herunder myndigheder i tredjelande, fremgår af databehandlerens standarddatabehandleraftale, og om situationen skal behandles efter reglerne om passende behandlingssikkerhed, jf. afsnit 3.6 i Datatilsynets vejledning om cloud?”
2. Besvarelse
Det fremgår af databeskyttelsesforordningens artikel 28, stk. 3, litra a, at en databehandler kun må behandle personoplysninger efter dokumenteret instruks fra den dataansvarlige, herunder for så vidt angår overførsel af personoplysninger til et tredjeland eller en international organisation, medmindre det kræves i henhold til EU-ret eller medlemsstaternes nationale ret, som databehandleren er underlagt.
Som KOMBIT har anført i sin henvendelse til Datatilsynet, findes kommunernes instruks til AWS for så vidt angår overførsel af personoplysninger til tredjelande i databehandleraftalens pkt. 12, hvoraf følgende fremgår:
“Regions. Customer may specify the location(s) where Customer Data will be processed within the AWS Network, including the EU (Dublin) Region, the EU (Frankfurt) Region, the EU (London) Region and the EU (Paris) Region (each a “Region”). Once Customer has made its choice, AWS will not transfer Customer Data from Customer’s selected Region(s) except as necessary to provide the Services initiated by Customer, or as necessary to comply with the law or binding order of a governmental body. If the Standard Contractual Clauses apply, nothing in this Section varies or modifies the Standard Contractual Clauses.” (Datatilsynets fremhævning)
Det er Datatilsynets opfattelse, at der vil være tale om en tilsigtet overførsel af personoplysninger til tredjelande for kommunernes vedkommende, hvis og i det omfang AWS imødekommer en anmodning fra en offentlig myndighed i et tredjeland, der omfatter personoplysninger, som kommunerne er dataansvarlige for.
Situationen svarer dermed ikke til den situation, der er beskrevet i afsnit 3.6 og eksempel 14 i Datatilsynets vejledning om cloud samt eksempel 10 i Datatilsynets vejledning om overførsel af personoplysninger til tredjelande. Denne situation vedrører tilfælde, hvor en databehandler i strid med databehandleraftalen overfører personoplysninger til et eller flere tredjelande.
I nærværende situation instruerer kommunerne – i henhold til den databehandleraftale, som Datatilsynet er blevet forelagt – derimod AWS i at overføre personoplysninger til offentlige myndigheder i det omfang, det er nødvendigt at overholde ”lovgivningen eller en bindende afgørelse fra en offentlig myndighed”. Instruksen ses ikke at være afgrænset i forhold til hvilke landes, herunder tredjelandes, lovgivning eller bindende afgørelser, der kan være tale om.
På den baggrund skal kommunerne efter Datatilsynets opfattelse sikre sig, at reglerne i databeskyttelsesforordningens kapitel V iagttages, hvis eller når AWS i henhold til instruksen foretager sådanne overførsler.
Datatilsynet henleder i den forbindelse opmærksomheden på databeskyttelsesforordningens artikel 48. Det følger heraf, at enhver dom afsagt af en domstol eller ret og enhver afgørelse truffet af en administrativ myndighed i et tredjeland, der kræver, at en dataansvarlig eller en databehandler overfører eller videregiver personoplysninger, kun kan anerkendes eller håndhæves på nogen måde, hvis den bygger på en international aftale, såsom en traktat om gensidig retshjælp mellem det anmodende tredjeland og EU eller en medlemsstat, uden at det berører andre grunde til overførsel i henhold til databeskyttelsesforordningens kapitel V.
En dom eller afgørelse fra en domstol eller administrativ myndighed i et tredjeland udgør med andre ord ikke i sig selv et gyldigt overførselsgrundlag.
For et eksempel på en nærmere analyse og vurdering af overførsel af personoplysninger på baggrund af domme eller afgørelser fra en domstol eller administrativ myndighed i et tredjeland henviser Datatilsynet til den fælles udtalelse fra Den Europæiske Tilsynsførende og Det Europæiske Databeskyttelsesråd af 10. juli 2019 til Europa-Parlamentets LIBE komité. Udtalelsen beskriver de retlige forhold for overførsel af personoplysninger på baggrund af anmodninger til USA i henhold til US CLOUD Act.[1]
Datatilsynet bemærker afslutningsvis, at situationen, der er omtalt i afsnit 3.6, og eksempel 14 i Datatilsynets vejledning om cloud samt eksempel 10 i Datatilsynets vejledning om overførsels af personoplysninger til tredjelande, vedrører de tilfælde, hvor databehandlere ikke er instrueret i at overføre personoplysninger til tredjelande. I disse tilfælde behandler databehandleren ved sin levering af services personoplysninger udelukkende inden for EU/EØS, men kan – eksempelvis qua sin koncernstruktur – blive mødt med anmodninger fra offentlige myndigheder i et tredjeland, hvor databehandlerens moderselskab er etableret. Hvis databehandleren imødekommer sådanne oplysninger vil der ske overførsel af personoplysninger til de pågældende tredjelande.[2]
Det er således en grundlæggende forudsætning i denne situation, at databehandleren ikke instrueres i at overføre personoplysninger til tredjelande – hverken regelmæssigt eller ad hoc. Kun i sådanne tilfælde kan databehandlerens eventuelle imødekommelse af anmodninger fra tredjelandes offentlige myndigheder i strid med sine løfter og det, der fremgår af databehandleraftalen, betragtes som et spørgsmål om passende behandlingssikkerhed efter databeskyttelsesforordningens artikel 32.
Hvis den dataansvarlige ønsker at benytte en databehandler, som kan blive mødt af sådanne anmodninger, skal den dataansvarlige være opmærksom på nedenstående tre forhold:
- For det første skal den dataansvarlige forvisse sig om, at databehandleren sikrer tilstrækkelige garantier for, at databeskyttelsesforordningens regler bliver overholdt. Databehandleren skal – med andre ord – indestå for, at vedkommende vil overholde databeskyttelsesreglerne. Det fremgår af databeskyttelsesforordningens artikel 28, stk. 1.
- For det andet skal den dataansvarlige sikre den nødvendige behandlingssikkerhed, herunder at databehandleren behandler oplysningerne fortroligt og ikke gør dem tilgængelige for uvedkommende. Det betyder, at den dataansvarlige skal vurdere risikoen for, at databehandleren – i strid med sine løfter og det, der fremgår af databehandleraftalen – imødekommer en anmodning i henhold til et tredjelands lovgivning. Det følger af kravene om passende behandlingssikkerhed i forordningens artikel 32, stk. 1, samt artikel 28, stk. 3, litra c.
- For det tredje skal den dataansvarlige føre tilsyn med sin databehandler. Hvis den dataansvarlige bliver bekendt med, at databehandleren handler i strid med databehandleraftalen ved at overføre personoplysninger til et tredjeland mod den dataansvarliges instruks, skal den dataansvarlige straks gribe ind over for dette. Det fremgår af databeskyttelsesforordningens artikel 28, stk. 3, litra a, at databehandleren kun må behandle personoplysninger efter dokumenteres instruks fra den dataansvarlige, herunder for så vidt angår overførsel af personoplysninger til tredjelande.
Som opfølgning på ovenstående indgår Datatilsynet meget gerne i dialog med KOMBIT om håndteringen af den nævnte problemstilling. Datatilsynet foreslår i første omgang at afholde et møde mellem Datatilsynet, KOMBIT og kommunerne og imødeser gerne en række forslag til mulige mødetidspunkter.
[1] EDPB-EDPS Joint Response to the LIBE Committee on the impact of the US Cloud Act on the European legal framework for personal data protection: https://edpb.europa.eu/our-work-tools/our-documents/letters/edpb-edps-joint-response-libe-committee-impact-us-cloud-act_en
[2] Datatilsynets vejledning om cloud (marts 2022), afsnit 3.6.