Efter Schrems II-dommen er kravene til dokumentation for dataoverførsler til tredjelande blevet ekstra komplekse. Det er nu strammet op med en ny sag. Derfor er det interessant for virksomheder at overveje automatisering af de omfattende dokumentationsopgaver. Det giver nemlig massive effektivitetsgevinster, samtidigt med at compliance-arbejdet bliver lettere.
Skrevet af; ComplyCloud
EU-domstolen har i Schrems II-dommen fra juli 2020 fastlagt, at USA’s overvågningsregime medfører, at overførsler af persondata til USA ikke kan ske lovligt uden omfattende dokumentation. Databehandleraftaler med leverandører i “usikre tredjelande” herunder USA skal inkludere de såkaldte Standardkontraktklausuler for tredjelandsoverførsler (SCC). Disse klausuler binder leverandøren til at behandle personoplysninger efter samme Databeskyttelsesstandard, som findes i EU. Dertil skal virksomheden udarbejde en Transfer Impact Assessment (TIA), der dokumenterer, at ret og praksis i modtagerlandet ikke forringer databeskyttelsen. Det kan ske ved, at myndigheder kan få uforholdsmæssig let adgang til oplysningerne.
EDPB (European Data Protection Board) har efterfølgende udgivet en vejledning på området, som ikke just har gjort det nemmere. Den udelukker nemlig al overførsel af klar tekst-persondata til lande, hvor problematisk lovgivning og praksis fører til en forringelse at databeskyttelsen. Alt dette har skabt stor tvivl om, hvordan virksomheder i praksis skal efterleve kravene, da overførsel af personoplysninger til eksempelvis USA ofte er en praktisk forretningsmæssig nødvendighed. Den uklarhed er nu blevet mindre – dog ikke i den retning, mange havde håbet.
Yderligere stramning af kravene til persondataoverførsler
Den første af 101 sager anlagt af Privacy-aktivistgruppen ”None of Your Business” om dataoverførsler til USA er netop blevet afgjort af det østrigske datatilsyn. Afgørelsen fastlægger, at brug af onlineværktøjet Google Analytics medfører en overførsel af personoplysninger til USA, der ikke er sikret tilstrækkeligt mod overvågning fra amerikanske efterretningstjenester. Selv meget beskedne overførsler af personoplysninger skal derfor ske i respekt af GDPR’s kapitel 5 om tredjelandsoverførsler. De endelige konsekvenser for danske virksomheder vil først ligge klart, når det danske datatilsyn kommer med sin udmelding, men det må forventes, at der kommer en harmonisering på tværs af EU.
Automatisering er vejen frem
Helt lavpraktisk skal en virksomhed altså kortlægge alle sine tredjelandsoverførsler og vurdere, om retssystemet i modtagerlandene er problematisk for den konkrete overførsel. Google Analytics afgørelsen har nemlig vist, at der ikke er en bagatelgrænse for kravet. Bruger man amerikanske leverandører, er det derfor essentielt, at man i sin TIA kan dokumentere, at der ikke er grund til at tro, at de overførte personoplysninger vil blive gjort til genstand for problematisk lovgivning. Og det er et stort og juridisk komplekst arbejde at foretage disse vurderinger manuelt.
Theodor Sachs Leschly, Advokatfuldmægtig, Legal Consultant i ComplyCloud, siger: “Det kræver højt specialiseret juridisk viden at foretage denne analyse. En traditionelt lavet TIA kan sagtens løbe op i 100.000 kr. i advokattimer. Det er et levende dokument, som skal opdateres, når der sker forandringer. Selv da er der ingen garanti for, at retstilstanden i EU ikke ændrer sig og gør investeringen meningsløs.”
Han fortsætter: “Der er noget fundamentalt ineffektivt i at bede hver enkelt virksomhed om at lave disse vurderinger. Vi har i ComplyCloud haft held med at automatisere store dele af processen. Research og overvågning af retstilstanden foretages centralt af vores eksperter og indgår i den individualiserede dokumentation, som vores software genererer. Disse dokumentationskrav er en god case for, hvordan teknologi kan gøre juridisk ekspertise skalérbar. Det er vigtigt at ramme et godt kompromis mellem standardisering og tilpasning til den enkelte organisation samt mellem automatisering og menneskelig rådgivning.”