Mange kender nok citatet fra George Orwells bog 1984 om samfundet, hvor ”Partiet” overvåger alt og alle 24 timer i døgnet.
En nogenlunde tilsvarende situation ligger til grund for dommen, der blev afsagt af EU-domstolen onsdag d. 16. juli 2020, hvor den hidtidige praksis med overførsel af persondata baseret på et EU-Privacy Shield-certifikat, har været lovligt overførselsgrundlag.
Dét er det ikke mere.
I dommen er det fastslået, at USA’s regeringsstyrede overvågning af persondata, med anvendelse af overvågningsprogrammerne Prism og Upstream baseret på FISA’s section 702 og på grundlag af E.O. 12333, IKKE giver den nødvendig garanti for sikring af privatlivets fred og dermed sikring af de registreredes rettigheder.
Dermed står en lang række virksomheder, både offentlige og private, nu med et problem, idet deres hidtidige anvendelse af systemer og services, der udbydes af leverandører og/eller databehandlere, hvor der som en del af dette forhold overføres persondata til USA. Disse overførsler er nu blevet ulovlige, hvis de udelukkende baserer sig på EU Privacy Shield som overførselsgrundlag.
Nogle få eksempler på virksomheder, der opererer på det danske marked, og hvor EU-Privacy Shield har været overførselsgrundlaget er:
- Microsoft
- Dropbox
- Mail Chimp
- Google
- Adobe
- Twilio
- LærIT.dk
- Stella Care
- Og mange flere.
Læs mere om dommen her
Hvad betyder det for de dataansvarlige?
For dig som dataansvarlig betyder det, at du nu skal i gang med følgende opgaver:
Kortlægning af, hvilke af dine databehandlere/leverandører der baserer overførsel af persondata til USA på grundlag af EU Privacy Shield.
Vurdering af, hvilken lovgivning dataimportøren er underlagt, hvis der er tale om et andet ikke sikkert tredjeland end USA.
Risikovurdering af sikkerhedsforanstaltningerne for de behandlingsaktiviteter og overførsler af persondata, der finder sted hos de identificerede databehandlere/leverandører, vil
svare til, at behandlingen foregik i EU. Vurdering af myndighedsadgang ved overførsel til USA, og
hvorvidt denne adgang er:
- Lovlig
- Begrænset til det nødvendige
- Giver mulighed for at føre tilsyn med myndighedsadgangen.
På baggrund af ovenstående foretages en vurdering af, om den hidtidige overførsel kan fortsætte under iagttagelse af tilstrækkelige sikkerhedsforanstaltninger. Her kan der være
tale om tre forskellige scenarier:
Hvis sikkerhedsforanstaltningerne ikke anses som tilstrækkelige, og hidtidig praksis fortsætter, fordi risikoniveauet anses for at være acceptabelt, skal der ske anmeldelse til Datatilsynet
herom.
Hvis sikkerhedsforanstaltningerne ikke anses for at være tilstrækkelige, skal hidtidig praksis ophøre, og der skal findes et alternativ.
Hvis sikkerhedsforanstaltningerne anses for at være tilstrækkelige, skal EU’s standardkontrakt omhandlende overførsel af data til ikke-sikre tredjelande udfyldes.
Lad vores Risk & Compliance-eksperter træde til
Hos BDO kan vi hjælpe vores kunder igennem denne complianceproces ved at:
- Kortlægge, hvilke databehandleraftaler der indeholder overførsler på baggrund af EU Privacy Shield.
- Assistere med at risikovurdere sikkerhedsforanstaltningerne hos dataimportøren. Omfattende både de tekniske - og de organisatoriske sikkerhedsforanstaltninger
- Assistere med vurdering af national interferens i beskyttelsen.
- Assistere med indgåelse af Kommissionens standardkontraktbestemmelser.
- Foretage tilsyn med databehandlere.
- Assistere med indgåelse af nye databehandleraftaler, opdatering af de eksisterende aftaler samt aflysning af databehandleraftaler, der savner grundlag for fortsat eksistens.
Kontakt os for at høre mere