Cloud

I lyset af EU-Domstolens såkaldte Schrems II-dom den 16. juli 2020 modtager Datatilsynet et stigende antal spørgsmål vedrørende overførsel af personoplysninger til tredjelande. En række af disse spørgsmål vedrører begrebet ”dataeksportør”, og hvem – den dataansvarlige eller databehandleren – der i praksis er ansvarlig for at sikre, at overførsel af personoplysninger sker i overensstemmelse med databeskyttelsesreglerne ved større, komplekse databehandlerkonstruktioner.

Begrebet ”dataeksportør” er ikke defineret i databeskyttelsesforordningen. Begrebet er derimod defineret i bl.a. EU-Kommissionens standardkontrakt, der er blandt de mest anvendte overførselsgrundlag i forordningens kapitel V. Tilsvarende fremgår det af EU-Kommissionens beslutning[1] om standardkontrakten, at dataeksportøren er ”den dataansvarlige eller databehandleren, der overfører personoplysningerne til et tredjeland”.

EU-Kommissionens standardkontrakt kombinerer generelle bestemmelser med en modulopbygget tilgang for at tage højde for forskellige overførselsscenarier. Dermed kan standardkontrakten bl.a. også indgås af en databehandler i EU, der efter instruks fra sin dataansvarlige overfører personoplysninger til en dataansvarlig eller databehandler i tredjelandet (”dataimportøren”).

Situationen, som navnlig har givet anledning til tvivl, er den, hvor en europæisk dataansvarlig benytter sig af en eller flere databehandlere inden for EU/EØS, men hvor en eller flere af dennes underdatabehandlere befinder sig uden for EU/EØS. Spørgsmålet er herefter, hvilken part der har ansvaret for at sikre overførslens lovlighed i henhold til databeskyttelsesforordningen.

Det er, som nævnt ovenfor, med EU-Kommissionens nye standardkontrakt muligt for databehandleren at indgå standardkontrakten direkte med eventuelle underdatabehandlere i tredjelande med henblik på at tilvejebringe det fornødne overførselsgrundlag. Overførselsgrundlaget vil i givet fald bestå af, at databehandleren – i medfør af forordningens artikel 46, stk. 2, litra c – har givet fornødne garantier for de registrerede vedrørende beskyttelsesniveauet. I sådanne tilfælde er det databehandleren, der betegnes som ”dataeksportøren”, og som (sammen med underdatabehandleren, som betragtes som ”dataimportør”) er direkte forpligtet af standardkontraktbestemmelserne og deres indhold.[2]

Hovedreglen for overførsel af personoplysninger til tredjelande fremgår imidlertid af det generelle princip i databeskyttelsesforordningens artikel 44. Heraf fremgår, at:

”Enhver overførsel af personoplysninger, som underkastes behandling eller planlægges behandlet efter overførsel til et tredjeland eller en international organisation, må kun finde sted, hvis betingelserne i [kapitel V] med forbehold af de øvrige bestemmelser i denne forordning opfyldes af den dataansvarlige og databehandleren, herunder ved videreoverførsel af personoplysninger fra det pågældende tredjeland eller den pågældende internationale organisation til et andet tredjeland eller en anden international organisation. Alle bestemmelserne i dette kapitel anvendes for at sikre, at det beskyttelsesniveau, som fysiske personer garanteres i medfør af denne forordning, ikke undermineres.” (Datatilsynets fremhævning)

Datatilsynet forstår forordningens artikel 44 som en forpligtelse for såvel den dataansvarlige og databehandleren. Begge parter er derfor forpligtet til at sørge for, at der tilvejebringes et overførselsgrundlag, der er effektivt i lyset af alle omstændighederne ved overførslen. Det gælder også i de tilfælde, hvor det i praksis er databehandleren, der har indgået en standardkontrakt i henhold til forordningens artikel 46, stk. 2, litra c, med eventuelle underdatabehandlere i tredjelande. I så fald består forpligtelsen for den dataansvarlige i praksis i at sikre sig – og kunne påvise over for Datatilsynet – at databehandleren har etableret det fornødne overførselsgrundlag, og at dette overførselsgrundlag er effektivt i lyset af alle omstændighederne ved overførslen, herunder ved implementeringen af supplerende foranstaltninger om nødvendigt.

Tilsvarende forpligtelser for såvel den dataansvarlige og databehandleren findes også i andre bestemmelser i databeskyttelsesforordningen.

Det fremgår eksempelvis af forordningens artikel 32, at den dataansvarlige og databehandleren skal etablere et passende behandlingssikkerhedsniveau. Datatilsynet betragter, som en fast praksis, både den dataansvarlige og dennes eventuelle databehandlere som selvstændige pligtsubjekter for denne forpligtelse. Det betyder, at den dataansvarlige og databehandleren hver især er forpligtet til at træffe de fornødne tekniske og organisatoriske foranstaltninger for at etablere et passende behandlingssikkerhedsniveau. I tilfælde, hvor databehandleren leverer (størstedelen af) den tekniske infrastruktur, vil den dataansvarliges opgave i praksis navnlig bestå i at sikre sig – og kunne påvise over for Datatilsynet – at databehandleren har etableret et passende behandlingssikkerhedsniveau.

[1] EU-Kommissionens gennemførelsesafgørelse (EU) 2021/914 af 4. juni 2021 om standardkontraktbestemmelser for overførsel af personoplysninger til tredjelande i henhold til Europa-Parlamentets og Rådets forordning (EU) 2016/679.

[2] Se også forordningens artikel 46, stk. 1, hvoraf fremgår, at en dataansvarlig eller en databehandler kun må overføre personoplysninger til et tredjeland, hvis vedkommende har givet de fornødne garantier for de registrerede.

Nej. Du skal som den dataansvarlige have overblik over hele leverandørkæden og de behandlinger, der foregår.

Nej. Du skal som den dataansvarlige have et retligt grundlag for at videregive oplysningerne, ligesom du skal påse, at den, du videregiver til, lovligt kan behandle oplysningerne.

Hvis du har lavet en risikovurdering for dine behandlingsaktiviteter, og disse aktiviteter ikke ændres væsentligt som følge af din brug af cloudservices, kan den oprindelige vurdering være nok. Generelt vil behandlingsaktiviteterne og måden, som behandlingerne udføres på, dog typisk ændre sig, hvilket vil nødvendiggøre en fornyet risikovurdering.

Det er ikke i sig selv diskvalificerende at benytte en standardydelse på baggrund af en standardiseret aftale. Det væsentlige er, om ydelsen og aftalen lever op til de krav, du som den dataansvarlige bør stille. Hvis dine krav kan opfyldes med standardydelsen og -aftalen, er dette ikke i sig selv en hindring. Det betyder dog også, at der kan være services, som du er nødt til at fravælge, hvis ydelsen og aftalen ikke lever op til de krav, du mener er passende.

Nej. Som dataansvarlig er du forpligtet til at påse, at beskyttelsesniveauet i tredjelandet i det væsentlige svarer til niveauet i EU/EØS, før du overfører oplysninger. Det kan betyde, at du – i tillæg til standardkontrakten – skal træffe supplerende foranstaltninger.

Jo. Enhver behandling i tredjeland udgør en overførsel. En se-adgang er også en behandling – og dermed overførsel – i databeskyttelsesforordningens forstand.

Måske. Hvis cloudleverandøren – enten ved tillægsydelser eller som service eller support af sin egen infrastruktur – kan tilgå oplysningerne fra et tredjeland, skal du fortsat iagttage reglerne om tredjelandsoverførsler.

Hvis din dataimportør og/eller de oplysninger, du ønsker at overføre, er omfattet af bl.a. FISA 702, er det meget vanskeligt at overføre oplysninger i klartekst til USA, dvs. uden at træffe supplerende foranstaltninger. Hvis du objektivt kan godtgøre, at den problematiske lovgivning, herunder fx FISA 702, ikke i praksis vil blive anvendt på oplysningerne, der skal overføres, kan det være muligt. Derudover kan du i visse tilfælde og i særlige situationer gøre undtagelse fra reglerne om tredjelandsoverførsler.

Ja, det kan man godt. Selv om en leverandør er omfattet af amerikansk lovgivning, der kan medføre udlevering af oplysninger (fx US CLOUD Act), kan man – hvis det er aftalt, og man er betrygget i, at udbyderen vil overholde gældende EU-ret – godt benytte den pågældende leverandør.

Nej. Du skal foretage en vurdering af risikoen for den registreredes rettigheder, og du skal være betrygget i, at leverandøren vil overholde gældende EU-ret, før du kan benytte en leverandør, der er omfattet af sådanne lovregler.