I anledning af Bird & Bird og Computerworlds cloud-konference den 24. november 2021 behandler vi i en artikelserie på i alt tre artikler de juridiske problemstillinger, der knytter sig til anvendelse af cloud-baserede løsninger. Dette er den tredje og sidste artikel i denne artikelserie. De to første artikler kan findes her:
Mens de to første artikler har behandlet fordele og ulemper ved cloud-computing, samt hvordan faldgruberne kan overvindes, ser vi i denne artikel på EU-Domstolens afgørelse i Schrems II-sagen og dens betydning for brugen af cloud-løsninger.
Behandling af persondata er en grundlæggende problemstilling, man som kunde bør tage stilling til, inden man overgår til en cloud-løsning. Det er et komplekst område, der kræver en grundig undersøgelse og afdækning af såvel cloud-leverandørens som kundens egen anvendelse af persondata.
Data flow’et i cloud-løsninger
Et centralt element i cloud-løsninger er, at leverandøren leverer sine ydelser fra og opbevarer kundernes data i en række datacentre alt efter, hvor der er ledig kapacitet.
Kundens data vil derfor oftest blive opbevaret på forskellige lokationer – og typisk også flyttet mellem forskellige datacentre, alt efter hvor der er bedst plads.
Herudover benytter de fleste cloud-leverandører et ”follow the sun” princip, hvor support og vedligeholdelse i løbet af et døgn leveres fra forskellige lokationer alt efter, hvor ”solen skinner”.
Endvidere kan et cloud-set up bestå af et ”kludetæppe” af en forskellige underleverandører, som leverer hver sin del af servicen og databehandlingen.
Dette giver udfordringer i en persondataretlig sammenhæng, da man som kunde ikke nødvendigvis ved, hvor ens data befinder sig, hvem der behandler dem, og da kundens data ofte overføres til lande uden for EU/EØS. Eventuelt blot ved, at der er fjernadgang til oplysningerne fra et tredjeland, hvilket persondataretligt også anses for en overførsel.
Tredjelande
Der kan i henhold til GDPR frit overføres personoplysninger til såkaldte sikre tredjelande, dvs. lande uden for EU/EØS, som EU-kommissionen har godkendt som sikkert, fordi oplysningerne opnår beskyttelse som svarer til den, der gælder i EU i medfør af GDPR. (Se listen over sikre tredjelande her).
Det modsatte er tilfældet for de usikre tredjelande, dvs. alle lande uden for EU/EØS, som ikke findes på Kommissionens liste over sikre tredjelande (heriblandt USA).
Overførsler til sådanne usikre tredjelande kan alene ske, hvis der foreligger et lovligt overførselsgrundlag. Og det er netop dette, der er temaet for to skelsættende afgørelser fra EU-Domstolen - de såkaldte Schrems I og Schrems II domme. Vi omtaler i det følgende fortrinsvis Schrems II.
Schrems II
Schrems II-dommen udspringer af en klage fra østrigeren, Max Schrems, til det irske datatilsyn (DPC). Klagen vedrørte overførslen af Max Schrems’ personoplysninger fra Facebook Ireland til moderselskabet, Facebook Inc. i USA. Facebook Ireland anvendte oprindeligt den såkaldte Safe Harbour-ordning som overførselsgrundlag, men denne ordning blev erklæret ugyldig af EU-Domstolen i 2015 i Schrems I-sagen.
Derfor overgik Facebook Ireland til at anvende afløseren for Safe Harbour, Privacy Shield, og EU-Kommissions standardkontrakt (Standard Contract Clauses, også kaldet SCC’s) som overførselsgrundlag. Heller ikke det mente Max Schrems var tilstrækkeligt. Han lagde derfor på ny sag an med den begrundelse, at de amerikanske myndigheder kan foretage masseovervågning af personoplysninger fra EU, når oplysningerne opbevares i USA.
I juli 2020 traf EU-Domstolen afgørelse i sagen (link). EU-domstolen erklærerede for det første, at Privacy Shield-ordningen var ugyldig som overførselsgrundlag til USA, fordi ordningen ikke sikrede et tilstrækkelig højt beskyttelsesniveau. Ordningen fungerede ved at amerikanske virksomheder kunne selv-certificere, at de overholdt nogle grundlæggende principper for databeskyttelse, der minder om de principper, vi nu kender fra databeskyttelsesforordningen (GDPR).
EU-Domstolen mente ikke, at denne ordning gav den fornødne beskyttelse, da amerikanske myndigheder havde mulighed for at få udleveret personoplysninger om EU-borgere fra de amerikanske virksomheder gennem amerikansk lovgivning.
For det andet fastslog EU-domstolen, at EU-Kommissionens standardkontraktbestemmelser (”SCCs”) er gyldige som overførselsgrundlag, men at det kan være nødvendigt at implementere supplerende foranstaltninger for at lovliggøre overførslen til tredjelandet – og at behovet herfor, skal vurderes konkret for hver enkelt overførsel. Med andre ord kan brugen af SCC i disse tilfælde ikke stå alene, men skal suppleres af ”noget mere”.
EDPB’s anbefalinger om supplerende beskyttelsesforanstaltninger
Dommen skabte stor usikkerhed om, hvornår der er behov for supplerende foranstaltninger, og hvad de nærmere skal bestå i. Det Europæiske Databeskyttelsesråd (EDPB) udstedte dog i juni 2021 nogle anbefalinger (link), der kaster lys over dette.
Anbefalingerne beskriver, hvordan personoplysninger der overføres til usikre tredjelande, effektivt kan beskyttes, og der dermed kan opnås et beskyttelsesniveau i tredjelandet, der i det væsentlige svarer til det niveau, vi har i EU/EØS.
Anbefalingerne består i en 6-trins køreplan. I praksis bør man, når man overfører personoplysninger til et tredjeland, følge denne køreplan.
De 6 trin i køreplanen er følgende:
Særligt vurderingen af, hvorvidt det valgte overførselsværktøj er effektivt, er vanskelig, idet den forudsætter en undersøgelse af tredjelandets lovgivning og praksis.
Det fremgår af skemaet nedenfor, at vurderingen kan resultere i følgende scenarier:
Ovenstående kan illustreres ved følgende figur:
EDPB oplister eksempler på, hvilke faktorer der er værd at overveje i forbindelse med valg af supplerende foranstaltninger.
Bl.a. kan man se på:
Når man har identificeret, hvilke data der er tale om, skal man vurdere, hvilke supplerende beskyttelsesforanstaltninger der skal tages i brug.
Supplerende foranstaltninger kan som udgangspunkt være af kontraktlig, teknisk eller organisatorisk art. I praksis vil det dog oftest være de tekniske beskyttelsesforanstaltninger der giver beskyttelse. Hér peger EDPB navnlig på pseudonymisering og kryptering som relevante værktøjer.
Anbefalingernes (mulige) konsekvenser for brugen af cloud-løsninger
Anbefalingerne vil ikke kun begrænse overførsler af f.eks. kunde- og personaleoplysninger i internationale virksomheder, men også ramme de fleste public cloud-løsninger.
Problemstillingen opstår, når cloud-leverandøren er underlagt lovgivning, der giver myndigheder i tredjelandet adgang til de overførte data (f.eks. er amerikanske selskaber underlagt FISA 702).
I sådanne tilfælde skal der indføres supplerende beskyttelsesforanstaltninger – navnlig i form af tekniske beskyttelsesforanstaltninger såsom kryptering.
Det vil dog oftest forholde sig sådan, at cloud-leverandøren har adgang til krypteringsnøglen (og derved kan ”låse indholdet op”) for at kunne udføre service og vedligeholdelse af platformen.
I sådanne tilfælde vil der ikke været etableret den fornødne beskyttelse.
Med afsæt i Schrems II-sagen og EDPB’s anbefalinger bør man som kunde gennemgå sine aftaler, der involverer mulige tredjelandsoverførsler, herunder cloud-aftaler, samt sine egne tredjelandsoverførsler, med henblik på at få kortlagt datastrømme, de nuværende overførselsgrundlag og vurdere behovet for eventuelle supplerende foranstaltninger.
Endvidere er dataimportører i tredjelande (bl.a. amerikanske cloud-leverandørerne) nødt til at genoverveje deres tekniske set-up, hvis de fortsat ønsker at kunne betjene kunder i EU på lovlig vis.
Microsoft har eksempelvis lagt op til at håndtere problemstillingen ved, at kundernes data fra udgangen af 2022 alene vil blive opbevaret og – som noget nyt – behandlet inden for EU/EØS (link kan findes her).
AWS tilbyder som supplerende beskyttelsesforanstaltning at opbevare krypteringsnøglen hos en tredjepart inden for EU. Den øverste forvaltningsdomstol i Frankrig, afviste bl.a. af den grund for nylig at suspendere en samarbejdsaftale mellem AWS og en fransk virksomhed, fordi man fandt disse beskyttelsesforanstaltninger for tilstrækkelige (vores artikel om denne sag kan findes her).
Nye Standard Kontraktklausuler (SCCs)
Udover EDPB’s anbefalinger, offentliggjorde EU-Kommissionen sin endelige beslutning om vedtagelse af de nye standardkontraktbestemmelser for overførsel af personoplysninger til tredjelande (SCC’s) den 4. juni 2021. For nye overførsler er det disse nye SCC’ere, der skal benyttes. For eksisterende overførsler skal de nye standardkontraktbestemmelser anvendes senest fra den 27. december 2022. Vi har i en tidligere artikel behandlet de nye standardkontraktbestemmelser (link kan findes her).