Er overførsel af persondata ud af EU nu lovligt alligevel?

Debatten om overførsel af personoplysninger til tredjelande har fået endnu et element efter ny fransk dom. Men dommen skal tages med forbehold, skriver Rasmus Møller Jakobsen fra Security & Technology i PwC i dette synspunkt.
Brødtekst

En fransk dom har gået sin runde på bl.a. LinkedIn og Twitter og ses af nogle som udtryk for, at overførsler af personoplysninger til USA igen er uproblematiske.

Den øverste administrative domstol i Frankrig tog 12. marts stilling til, hvordan der kan overføres personoplysninger til USA og derved fx bruge cloud.

Efter læsning af dommen fremstår den dog i høj grad som en gengivelse af en specifik case fra EDPB's anbefalinger efter Schrems II. Derudover er der tale om en administrativ domstol, som har truffet afgørelse uden at indhente tilladelse fra den franske tilsynsmyndighed på området (CNIL). Man bør alt i alt tage afgørelsen med et gran salt.

Baggrund for sagen

Det franske sundhedsministerium benytter en række databehandlere, herunder leverandøren Doctolib, til at indkalde franske statsborgere til vaccination mod Covid-19. Doctolib bruger en underdatabehandler kaldet AWS, som er placeret i Luxembourg.

AWS er datterselskab i Amazon-koncernen, som er placeret i USA. Dermed overfører det franske sundhedsministerium via Doctolib oplysninger til USA, hvis databeskyttelsesniveau ikke er på højde med EU's.

Resultat

Domstolen kom frem til, at det franske sundhedsministerium kan benytte Doctolib og dermed overføre oplysningerne til USA.

Domstolen lagde vægt på, at

  • Doctolib alene overførte krypteret data til AWS. Krypteringsnøglen var placeret hos 'en troværdig tredjemand' (PwC's oversættelse red.), så AWS og dermed Amazon havde ikke adgang til oplysningerne. Trods man kunne have ønsket sig det, så er teknikken bag ikke beskrevet mere end dette,
  • oplysningernes karakter (navn og vaccinationsindkaldelse, altså ikke helbredsoplysninger),
  • AWS sletter oplysningerne efter 6 måneder, og at
  • AWS og Doctolib havde indgået en skriftlig aftale om proceduren for behandling af eventuelle anmodninger om adgang til data fra amerikanske efterretningstjenester.

Vurdering

Dommen tilkendegiver altså, at hvis de helt rigtige foranstaltninger implementeres, kan en europæisk myndighed eller virksomhed overføre oplysninger til fx USA.

Kryptering og manglende adgang til data for amerikanske databehandlere er altafgørende og må betegnes som den eneste reelle mulighed for i praksis at højne beskyttelsen af oplysningerne. Andre foranstaltninger, som fx en aftale om, hvordan man vil håndtere en eventuel anmodning om adgang til data fra en amerikansk efterretningstjeneste, må betragtes som kirsebær på toppen i forhold til at kryptere data og opbevare nøglen hertil sikkert.

En række yderligere forhold medfører, at dommen skal tages med forbehold:

  1. Sagen kørte i ca. én uge. Det er kort tid, når man tager i betragtning, at
  • teknikken bag en sådan kryptering kan være særdeles kompliceret,
  • sagen vedrører og fortolker de store ændringer som følger af Schrems II, og
  • der i sådanne sager normalt ville skulle fremlægges erklæring fra uafhængig tredjemand for at dokumentere, at krypteringen er tilstrækkelig. Det kan ikke ses af dommen, at sådanne erklæringer har været fremlagt.
  1. Dommen er i sin helhed ikke videre velbegrundet. Som nævnt er der ingen omtale af teknikken bag den pågældende kryptering, og der blev truffet afgørelse uden at indhente en udtalelse fra den franske tilsynsmyndighed (CNIL), hvilket ellers havde været interessant.
  1. Sagen omhandler som nævnt det franske sundhedsministeriums vaccineindkaldelse. Hvis domstolen var kommet frem til det modsatte resultat, kunne det muligvis have medført, at den franske vaccineindkaldelse skulle sættes i bero indtil, der var fundet en anden databehandler. Man kan overveje om konsekvenserne ved at underkende måden, hvorpå det franske sundhedsministerium indkalder borgere til vaccine mod Covid-19, simpelthen har været for uoverskuelige.
Prøv ComplianceTech

ComplianceTech er et medie til compliance-ansvarlige i danske virksomheder og offentlige myndigheder. Vi udgiver løsningsorienterede artikler om data compliance og konkrete værktøjer til, hvordan din organisation overholder reglerne og er compliant på den mest effektive måde - uanset om det handler om GDPR, cookies, NIS-loven eller ISO-standarder.

Klik her

Nævnte firmaer