Hvad er "Privacy Shield"? Og hvorfor er det vigtigt for mig?
”Schrems II-sagen” omhandler muligheden for at overflytte personoplysninger til amerikanske virksomheder. Det har hidtil været muligt ved hjælp af den såkaldte Privacy Shield-aftale, der kort sagt er en ordning af standardkontrakter, hvor de amerikanske virksomheder garanterede, at de kunne overholde europæiske GDPR-regler (Der er pt. over 5000 amerikanske virksomheder i ordningen).
Privacy Shield betød at europæiske virksomheder kunne gøre brug af amerikanske services og overføre personoplysninger til disse, uden selv at skulle gå den helt lange vej ift. risikovurdering af, hvorvidt samarbejdspartneren (databehandleren) rent faktisk er i stand til at leve op til sine forpligtelser. Privacy Shield gjorde det derfor unægtelig meget lettere at indgå databehandleraftaler med amerikanske virksomheder.
Max Schrems klager over Privacy Shield
Privatlivsaktivisten Maximillian Schrems har dog været utilfreds med PrivacyShield-ordningen, da han mener, at amerikanske virksomheder umuligt kan garantere at efterleve GDPR, da USA har nationale love, der trumfer og bryder med principperne i GDPR. Det omhandler blandt andet love, der gør det muligt for den amerikanske stat at få indsigt i de personoplysninger, hvis de f.eks. har mistanke om terror.
Schrems valgte derfor helt konkret at oprette en klage rettet mod Facebook, der flytter data fra deres irske afdeling til den amerikanske via Privacy Shield-aftalen (Facebook i Irland og Facebook i USA er to individuelle selskaber). Det betyder, at europæiske brugeres persondata kan ende i USA. Det er Max Schrems utilfreds med, da han ikke mener, at Facebook kan garantere at efterleve GDPR i håndteringen af personoplysningerne i USA. Det er denne anke, som EU-domstolen har taget stilling til. EU-domstolen har givet Schrems medhold, hvilket gør Privacy Shield-aftalen ugyldig – vel at mærke fra den ene dag til den anden. Dette påvirker ikke blot Facebook, men samtlige virksomheder der er en del af ordningen. Privacy Shield er ikke længere et gyldigt grundlag til at overføre personoplysninger til USA.
Det er ikke første gang at en aftale som Privacy Shield bliver underkendt. Privacy Shield-aftalen var et direkte resultat af, at den forrige aftale, den såkaldte ”Safe Harbour-aftale”, blev gjort ugyldig i 2015. Dengang var det også Max Schrems, der klagede over aftalen og fik medhold. Privacy Shield skulle have været løsningen på de problemer, der var med Safe Harbour, men det har tydeligvis ikke været tilfældet. Nu står vi i en situation, hvor man ikke kan overføre personoplysninger til USA via hverken Safe Harbour eller Privacy Shield, og der er ikke nogen oplagt ny løsning.
Advokat Michael Hopp har skrevet mere uddybende om, hvorfor Privacy Shield ikke var løsningen på Safe Harbours problemer, som du kan læse her:Schrems II-afgørelsen.
Berører afgørelsen din organisation?
Svaret er ja.
Hvis din organisation har amerikanske databehandlere eller har samarbejdspartnere, der gør brug af amerikanske databehandlere, så berører det jer. Og hvem er ikke på en eller anden måde viklet ind i services fra fx Microsoft, Google, Amazon og lignende? Det er svært at komme udenom de store amerikanske tech-giganter i danske organisationers dagligdag. De fleste danske organisationer er så integreret med amerikanske services, at det vil have store omkostninger at skulle stoppe samarbejdet. Det er vigtigt at sikre, at din organisation er forsigtig med enhver dataoverførsel, da overførsler kan blive en normal årsag for GDPR-bøder
Skal jeg så opsige mit samarbejde med alle amerikanske databehandlere?
Vi ved ikke, hvordan afgørelsen specifikt kommer til at påvirke danske organisationer endnu. Faktum er dog, at det ikke længere er lovligt at eksportere data til USA med Privacy Shield-aftalen som grundlag. Samtlige organisationer kan dog ikke stoppe fra dags dato med at bruge amerikanske virksomheders services. Vi er derfor endt i et limbo, hvor vi afventer, hvad der nu skal ske. Spørgsmålet er, om det bliver op til de enkelte virksomheder at finde en løsning, eller om løsningen skal komme fra politisk niveau.
Hvis løsningen skal findes ude hos virksomhederne og organisationerne, betyder det, at virksomheder fra USA skal leve op til samme krav som andre tredjelande. Det betyder, at man som dataansvarlig skal kunne garantere at ens databehandler kan leve op til reglerne i persondataforordningen. Det placerer en stor mængde arbejde på skuldrene af den enkelte organisation, der gør brug af amerikanske databehandlere, da man selv skal lave risikovurderingen fra bunden og føre tilsyn hos disse virksomheder – men hvordan kan man i sin risikovurdering forvente at nå frem til noget andet end EU-domstolen: nemlig det åbenlyse faktum at virksomhederne ikke kan garantere, at de kan efterleve kravene? Og hvad gør man, hvis man ikke længere kan gøre brug af f.eks. Office365? Er der overhovedet et alternativ? Der er mange svære spørgsmål og den nye afgørelse gør det umiddelbart svært at overskue, hvordan det bliver muligt at gøre brug af virksomheder fra USA som databehandlere.
En politisk løsning?
Hvis løsningen skal findes politisk, er det også svært at forudsige, hvordan den vil tegne sig. Skal der være vandtætte skodder mellem EU og USA? Skal der indføres sanktioner mod amerikanske virksomheder eller skal løsningen findes et helt andet sted? Det forekommer usandsynligt at EU vil slække på GDPR-lovgivningen for at imødekomme USA’s utilstrækkelige lovgivning. Det virker også usandsynligt at USA vil droppe deres overvågningslove, der gør det muligt for staten at få indsigt i amerikanske virksomheders data.
Det er svært at overskue, hvad konsekvenserne ville være, hvis der ikke kommer en mindelig løsning på problematikken. I praksis vil det i så fald være ulovligt at overføre personoplysninger til USA, og det virker som en meget sort udgang på sagen, hvis der ikke kan findes en brugbar løsning.
Forslag til videre læsning
Hvis du vil læse mere om, hvilke overvejelser man kan gøre sig, kan vi anbefale dette blogindlæg på Version2, hvor jurist Jesper Løffler Nielsen deler sine relevante refleksioner over sagen (Jesper Løffler Nielsen – Schrems II i et IT-retligt perspektiv). Det kan også være relevant for jer at undersøge, om jeres advokater har anbefalinger til, hvordan I skal agere nu.
Her og nu stiller afgørelsen flere spørgsmål, end den kommer med svar. Det eneste, der er sikkert, er, at afgørelsen har smidt en bombe i det digitale samarbejde imellem EU og USA. Der er måske ikke andet at gøre end at tage en stor mundfuld luft ind og afvente, hvad der kommer af meldinger og anbefalinger fra Datatilsynet, der sammen med det Europæiske Databeskyttelsesråd er ved at analysere afgørelsens konsekvenser (Datatilsynet – EU-domstolens dom). Det er dog en god ide at forberede sig på, hvad det potentielt får af konsekvenser for din organisation, hvis I bliver nødt til at finde nye leverandører af IT-services eller skal til behandle disse leverandører som andre tredjelande. Det kan fx være at forholde sig afventende ift. indkøb af nye tjenester og services og sætte pause på projekter, som vil binde organisationen tættere til amerikanske databehandlere.