3 minute read
”Nogen må ringe til en voksen...”
”Nogen må ringe til en voksen og forklare, at 99% af de systemer, vi bruger i dag, er ulovlige”
Det offentlige undslipper ikke udarbejdelsen af de lovpligtige Transfer Impact Assessments. I får her en status på Schrems II-dommen og en opfordring til at samarbejde på tværs af institutioner og kommunegrænser.
Advertisement
Af Martin Folke Vasehus, stifter og CEO, ComplyCloud
Citatet, jeg prøver at fange jeres opmærksomhed med i overskriften, var et, jeg kom med på en konference for en måneds tid siden. Konferencen hed ”Sandheden om Schrems II – erhvervslivets Cuba-krise”, men det er ikke kun erhvervslivet, der er berørt. Som offentlige organisationer skal I også spidse øren.
EU-domstolen afsagde sidste sommer Schrems II-dommen, som siden hen har givet både private og offentlige virksomheder hovedbrud. Dommen gør det nemlig ulovligt at overføre personoplysninger til lande uden for EU … medmindre man som dataansvarlig (fx en dansk kommune) kan dokumentere, at det modtagende land har et passende databeskyttelsesniveau, der i det væsentligste svarer til den beskyttelse, som GDPR sikrer os her i EU.
I skal dokumentere ansvarlighed
”Overfører vi personoplysninger til lande uden for EU?”, spørger I måske jer selv om. Og ja, det gør I, hvis I bruger IT-leverandører og IT-ydelser fra USA og andre lande uden for EU. Og for lige at repetere, så betyder dommen altså, at I skal sikre og står til ansvar for, at der er et passende databeskyttelsesniveau i de lande, som jeres IT-leverandører og IT-underleverandører kommer fra.
Som offentlige organisationer slipper I altså ikke. Og derfor skal I finde en måde, hvorpå I kan dokumentere såkaldt ”ansvarlighed” i jeres beslutninger. Det gør I ved at lave Transfer Impact Assessments (TIA), som er lovpligtige konsekvensanalyser af overførsel af personoplysninger til tredjelande.
Indrømmet. Det er ikke nogen let opgave. Der skal nemlig udarbejdes én TIA pr. leverandør, som på jeres vegne overfører personoplysninger til USA eller andre lande uden for EU/EØS. Det er tidskrævende og kræver de rette kompetencer inden for databeskyttelsesret. Og så risikerer det også at blive rigtig dyrt. Det tager nemlig op mod 15-20
FAKTA:
Spørgsmål fra kommunerne om Schrems II
Vi svarer jævnligt på spørgsmål om Schrems II fra offentlige virksomheder. Et af dem lyder ”Er kommunen reelt forpligtet til at lave en risikovurdering for ibrugtagen af tjenester hostet hos amerikanske firmaer eller hos en leverandør, der benytter amerikansk hosting?”. En anden spørger ”Hvad gør vi i kommunerne, når vi er bundet til leverandører så som KMD og mange andre, der benytter underdatabehandlere i stor stil – som jo ligger i USA eller har tråde til USA?”. Du kan læse svarene her.
https://complycloud.com/vi-svarer-paa-spoergsmaal-fra-deltagerne-paa-eventetsandheden-om-schrems-ii-erhvervslivets-nye-cuba-krise/#public2
advokattimer at udarbejde bare en enkelt vurdering af én leverandør i ét land. En middelstor dansk kommune vil – skønner jeg – skulle lave i omegnen af 70 vurderinger.
Ikke desto mindre er udarbejdelsen af TIA den eneste nuværende løsning, da de større bagvedliggende politiske årsager ikke ser ud til at blive løst lige foreløbigt. Det er derfor op til markedet – leverandørerne og jer som kunder – at lede efter løsningerne.
Samarbejd på tværs af det offentlige
Som kommuner ligner I et langt stykke ad vejen hinanden og står over for de samme udfordringer, når I skal lave TIA’er. Så min opfordring vil klart være, at I samarbejder på tværs af skoler og kommunegrænser om at finde løsninger, der både kan lette opgaven, men også skabe økonomisk fornuft i udarbejdelsen af Transfer Impact Assessments. Én løsning kunne være at skæve til nogle af de værktøjer, der er kommet på markedet i den seneste tid. Bruger I teknologi til at løse opgaven, kan I i visse tilfælde lave en TIA på helt ned til 30 minutter.
FAKTA: Læs dig til mere viden om Schrems II
Der udgives jævnligt whitepapers, rapporter og artikler mv., som kan hjælpe jer til bedre at forstå Schrems II og opdatere jer om den løbende udvikling på området.
• Schrems II og Standard Contractual Clauses
Et whitepaper med det vigtigste, I bør vide om EDPB’s nye anbefalinger om tredjelandsoverførsler og krav til brug af Kommissionens standardkontraktbestemmelser. https://complycloud.com/ download-whitepaper-schrems-ii-og-standard-contractual-clauses/
• Datatilsynets fokusområder 2021
Overførsel af personoplysninger til tredjelande er et af 13 områder, som
Datatilsynet vil fokusere på i 2021. I denne tekstsamling kan I læse om alle 13 områder og få tips til, hvordan I bliver og forbliver compliant. https://complycloud.com/datatilsynets-fokusomraader-2021-ude-nu/
• GDPR Casebook Quarterly – Q4 2020
Fire gange om året udgiver ComplyCloud en GDPR Casebook. Her samler vi alle Datatilsynets afgørelser, analyserer på dem og giver vores kommentarer og anbefalinger med på vejen. https://complycloud.com/download-casebook/
