Schrems-sagen: Hvor må du opbevare persondata?

12. september 2023
Emner: IT-revision og -sikkerhedsrådgivning
Forfatter: Beierholm

Har du styr på, hvor du må opbevare andres persondata? Har du måttet udskifte leverandører på baggrund af usikker persondataopbevaring? Ved du, at der findes regler for, hvilke lande, du kan sende og opbevare persondata i? Og at der er godt nyt på netop den front?

Beierholm_IT-sikkerhed-persondata.jpg

Ja, spørgsmålene kan være mange, når det kommer til behandling af persondata. Her får du svar til et af disse, nemlig om regler for dataoverførsel mellem EU og USA, hvor nye retningslinjer er kommet til.

 

Vanskeligt men vigtigt

I et EU-persondataperspektiv anses en række lande udenfor EU og EØS for at være usikre tredjelande, fordi der i disse lande ikke kan opretholdes de fornødne garantier for sikker persondatabehandling som forordningen kræver. Dét i hvert fald set i forhold til lande i EU og EØS, hvor kravene til behandling af persondata er stringente og brud på lovgivningen kan føre til store bøder. Indtil for ganske nylig var USA et af disse usikre lande, men med en ny aftale har USA fået ændret sin status.

EU’s strikse regler for beskyttelse af EU-borgeres persondata, kan måske forekomme besværlige, men de er vigtige i vores digitaliserede verden.

En person, der er helt enig i vigtigheden af god persondatabeskyttelse, er den østrigske advokat og privacy-aktivist Maximillian Schrems, som har lagt navn til en af vor tids største sager omhandlende datasikkerhed ved overførsler mellem EU og USA. Og det er netop denne sag, som har fået en ny krølle, der meget vel kan blive interessant for danske virksomhedsejere.

 

Ny aftale gør overførsler mere simple

Tidligere i år mødtes Europa-Kommissionen for at drøfte emnet, og i juli 2023 blev det besluttet, at beskyttelsesniveauet for det ny EU-U.S Data Privacy Framework er tilstrækkeligt til, at man kan tillade dataoverførsel til USA fra EU baseret på denne.

Tilstrækkelighedsafgørelsen kan dog udelukkende benyttes som overførselsgrundlag, når der er tale om persondataoverførsel til organisationer i USA, som har certificeret sig under EU-U.S. Data Privacy Framework hos det amerikanske handelsministerium – et par eksempler på store selskaber, der har certificeret sig kan være Google eller Meta.

Helt konkret betyder denne nye afgørelse, at det nu er blevet nemmere for virksomheder at overføre og opbevare persondata i USA via cloud-services så længe man sikrer sig, at den virksomhed, man indgår en databehandleraftale med, har certificeret sig under databeskyttelsesrammen.

Vores specialister er klar til at hjælpe dig

Schrems-sagen har båret enorme ændringer med sig for virksomheder i alle størrelser, og it-sikkerheds- og complianceområdet forandrer sig konstant i takt med den rivende teknologiske udvikling. Vi ved, at det kan være udfordrende at holde styr på de utallige regler og nye opdateringer.

Vores specialister har mangeårig erfaring inden for it-sikkerhed, og holder sig hele tiden ajour med de seneste udviklinger på området. Har du og din virksomhed brug for rådgivning, så tøv ikke med at kontakte os for at høre mere om dine muligheder og om hvordan et rådgivningsforløb hos Beierholm kan hjælpe jer godt på vej.

Du kan læse mere om EU-U.S. Data Privacy Framework og se listen over virksomheder, der har certificeret sig på www.dataprivacyframework.gov.

Beierholm-IT-Risikovurdering

Vil du et spadestik dybere? Schrem-sagen kort fortalt

Schrems-sagen trækker tråde adskillige år tilbage, og tog sit udspring i en civil klagesag mod Facebook Inc., nu Meta, for at overføre europæiske borgeres persondata til USA, hvor der ikke findes de samme krav om databeskyttelse og rettigheder for borgere, som der gør inden for EU's grænser.

Denne dataoverførsel foregik under Safe Harbor-ordningen, som i 2015 blev annulleret af EU-Domstolen ved den retssag, der er kendt som Schrems I, på baggrund af utilstrækkelig beskyttelse af europæiske borgere ved persondataoverførsel til USA.

I 2016 kom Safe Harbor-ordningens lillebror til verden: nemlig Privacy Shield-ordningen. Denne ordning fik lov til at leve indtil der i juli 2020 blev der ved EU-domstolen truffet afgørelse i sagen kendt under navnet Schrems II, som ligeledes gjorde Privacy Shield ugyldig; igen på baggrund af utilstrækkelig beskyttelse af europæiske borgeres persondata ved overførsel.

Kernen af annulleringerne af Safe Harbour og Privacy Shield-ordningerne skal findes i USA's lovgivning om national sikkerhed, nærmere bestemt FISA 702, som giver myndighederne særlige beføjelser i deres adgang til data. Helt konkret betyder det, at USA's efterretningsfællesskab kan forlange at få udleveret data om borgere fra andre lande i forbindelse med efterforskning og forebyggelse af trusler mod USA.

I kølvandet på at Privacy Shield-ordningen blev ugyldiggjort, gik man i gang med at forhandle et udkast til en ny aftale på plads; nemlig det såkaldte EU-U.S Data Privacy Framework.