Baggrund
Overførsel af personoplysninger til og fra EU/EØS er nødvendig for udbygningen af den internationale samhandel og det internationale samarbejde.
Personoplysninger om borgere i Danmark nyder dog – på linje med oplysninger om andre europæiske borgere – en særlig beskyttelse i kraft af de fælleseuropæiske databeskyttelsesregler. En af grundstenene i disse regler er, at beskyttelsesniveauet, som reglerne sikrer i EU/EØS, ikke må undermineres ved, at oplysningerne overføres til lande uden for EU/EØS – såkaldte tredjelande. Der findes derfor en række særlige krav, der skal være opfyldt ved overførsel af personoplysninger til tredjelande. Disse særregler har til hensigt at sikre et tilsvarende højt beskyttelsesniveau for de oplysninger, som overføres uden for EU/EØS.
I juli 2020 præciserede EU-Domstolen i den såkaldte Schrems II-dom bl.a., at reglerne om overførsel af personoplysninger til tredjelande generelt forudsætter, at beskyttelsesniveauet i det pågældende tredjeland i det væsentlige skal svare til beskyttelsesniveauet i EU/EØS.
En af de mest anvendte måder, hvorpå en organisation kan etablere et tilsvarende beskyttelsesniveau og dermed overføre personoplysninger til tredjelande er ved, at organisationen indgår en særlig aftale med organisationen i tredjelandet, som oplysningerne skal overføres til. Denne aftale benævnes ofte EU-Kommissionens standardkontrakt og indeholder en række forpligtelser for såvel dataimportøren som dataeksportøren, ligesom aftalen giver de registrerede personer en række rettigheder, der kan håndhæves over for de to parter.
Schrems II-dommen indebærer, at organisationer, der overfører oplysninger til tredjelande på baggrund af EU-Kommissionens standardkontrakt skal undersøge, om kontrakten i sig selv er tilstrækkelig til at sikre et beskyttelsesniveau, som i det væsentlige svarer til niveauet i EU/EØS. Kontrakten kan eksempelvis være utilstrækkelig, hvis retshåndhævende myndigheder i det pågældende tredjeland har adgang til de overførte personoplysninger i disproportionalt omfang fx på baggrund af masseovervågningsprogrammer, idet offentlige myndigheder ikke er bundet af kontrakten.
Hvis det ikke er muligt at sikre et tilsvarende beskyttelsesniveau ved hjælp af standardkontrakten alene, skal organisationen træffe supplerende foranstaltninger med henblik på at bringe det samlede beskyttelsesniveau op på europæisk standard.
Sådanne supplerende foranstaltninger kan være både tekniske, kontraktuelle og organisatoriske. I nogle tilfælde kan det – afhængigt af de konkrete lovregler og praksis – være tilstrækkeligt at træffe supplerende kontraktuelle og organisatoriske foranstaltninger. I mange tilfælde vil det dog være nødvendigt at træffe supplerende tekniske foranstaltninger. Det er bl.a. tilfældet for visse typer af overførsler til USA, idet visse organisationer i landet er underlagt regelsæt, der indebærer, at organisationerne skal udlevere oplysninger til retshåndhævende myndigheder i et omfang, der ikke er foreneligt med de grundlægende europæiske regler.
Det Europæiske Databeskyttelsesråd er i løbet af 2. halvdel af 2020 og 1. halvdel af 2021 fremkommet med en række konkrete anbefalinger til supplerende foranstaltninger, som organisationer kan implementere i tillæg til indgåelse af standardkontrakten.
Datatilsynet anerkender dog, at det desuagtet fortsat kan være en stor og vanskelig opgave, særligt for små og mellemstore organisationer, og tilstræber i videste muligt omfang at bistå danske organisationer med at løfte denne opgave.
Datatilsynet har på den baggrund besluttet at nedsætte en ekspertarbejdsgruppe om anvendelse af cloud, der skal understøtte tilsynets arbejde.
Formål
Ekspertarbejdsgruppen skal bl.a. se på:
- Udfordringer ved nuværende cloudservices i lyset af den seneste retlige udvikling
- Mulige tiltage og foranstaltninger, der kan sikre en ansvarlig og lovlig brug af cloudservices
- Tekniske og økonomiske fordele og udfordringer i forbindelse med anvendelse af state-of-the-art teknologi og teknikker
- Organisatoriske principper og retningslinjer, der kan implementeres i den enkelte organisation med hensyn til brug af cloudservices
Opgave
Ekspertarbejdsgruppens arbejde skal bidrage til at identificere mulige og praktisk anvendelige løsninger og foranstaltninger, der kan sikre anvendelse af cloudservices inden for rammerne af databeskyttelsesreglerne, og understøtte Datatilsynets generelle viden på området.
Datatilsynet vil på baggrund af ekspertarbejdsgruppens bidrag udarbejde konkrete anbefalinger og praktisk vejledning som supplement til tilsynets generelle vejledning om cloud. Datatilsynets hensigt er, at vejledningen skal rette sig både til de dataansvarlige organisationer, der gør brug af cloudbaserede leverancemodeller, og til cloududbydere, der udvikler og tilbyder sådanne løsninger.
Organisering og proces
Datatilsynet har tilstræbt at sammensætte ekspertarbejdsgruppen af medlemmer, der har både praktisk og teoretisk erfaring med og kendskab til cloud services.
Datatilsynets ekspertgruppe består af:
- Paul Ahlgren, Principal Security Strategist, Amazon Web Services
- Stephen Alstrup, Professor, Københavns Universitet
- Carsten Baum, Assistant professor, Aarhus Universitet
- Bernardo Machado David, Associate Professor, IT Universitetet
- Frank Bech Jensen, Head of Compliance and Security, itm8
- Ole Kjeldsen, Teknologi- og sikkerhedsdirektør, Microsoft Danmark
- Gert Læssøe Mikkelsen, Head of Security Lab, Alexandra Instituttet
- Christian Provstgaard, Senior Consultant, Silverbullet
- Ole Tange, IT-politisk rådgiver, PROSA
Datatilsynet forventer at mødes med ekspertarbejdsgruppen 3-5 gange i løbet af 2022.
På baggrund af ekspertarbejdsgruppens bidrag tilstræber Datatilsynet at udarbejde konkrete anbefalinger og praktisk vejledning som supplement til tilsynets generelle vejledning om cloud.
Anbefalingerne og vejledningen vil blive sendt i offentlig høring, når de foreligger.