Stop med at bruge internettet!

Jakob Dedenroth Bernhoft.
Jakob Dedenroth Bernhoft.

Som situationen er nu, kan man ikke lovligt sende persondata til USA. Det følger af en dom fra EU-domstolen. Det sætter virksomhederne i en meget vanskelig situation, hvor valget i realiteten består i at overtræde GDPR eller stoppe med at bruge apps hvor data bliver gemt i USA. Det betyder fx, at man ikke lovligt kan bruge Dropbox mere.

Schrems II-sagen i meget korte træk
Hele sagen starter den 16. juli 2020, hvor EU-domstolen afsagde dom i den såkaldte Schrems II sag. Domstolen kom frem til, at den såkaldte Privacy Shield-ordning er ugyldig. Det er den ordning, som gør det lovligt, at overføre persondata til USA. Hvad skal man så gøre, hvis ens leverandør til de cloudløsninger, som man bruger, opbevarer ens persondata i USA? Jo den løsning har Datatilsynet fundet og som involverer brugen af standardkontrakter fra EU:

”Hvis du overvejer at bruge eksempelvis Kommissionens standardkontrakter som overførselsgrundlag fremadrettet, skal du være opmærksom på, at du - selvom EU-Domstolen som udgangspunkt har erklæret standardkontrakterne gyldige - skal foretage en vurdering af forholdene i det tredjeland, som du ønsker at overføre personoplysninger til. Vurderingen skal sikre, at den beskyttelse, som etableres ved brug af standardkontrakterne, er ”essentially equivalent” med den, som vi har i EU, og dermed ikke undermineres af forholdene i tredjelandet. Ved vurderingen vil det eksempelvis være relevant at kigge på lovgivningen i tredjelandet, herunder myndighedernes (f.eks. efterretningstjenesternes) muligheder for at få adgang til personoplysninger, kontrollen hermed og de registreredes klagemuligheder.”

Det er mildest talt en lidt svær tekst at komme igennem for de fleste virksomheder, der ikke har GDPR-kompetencer internt. Ja og vel også dem, som har GDPR-kompetencer internt.

Hvis ens vurdering om essentially equivalent resulterer i, at der ikke er et tilstrækkeligt beskyttelsesniveau, skal du ifølge Datatilsynet stoppe med at overføre oplysninger til USA.

Konsekvenser for erhvervslivet
Man skal jo overholde GDPR, og det gælder selvfølgelig også, hvis man som dataansvarlig opbevarer personoplysninger i udlandet. Der er ikke noget problem, så længe det sker inden for EU, hvor persondataforordningen gælder i alle lande og dermed har samme beskyttelsesniveau.

Dommen betyder i realiteten at en meget stor del – hvis ikke alle – danske virksomheder overtræder GDPR, hvis de ikke får hjemmelsgrundlaget i orden, som Datatilsynet har beskrevet ovenfor.

Se fx Dropbox, som skriver på deres hjemmeside: ”Dropbox overholder programmerne til værn om privatlivets fred ("Privacy Shield") mellem EU og USA…” Ja, men Privacy Shield gælder som nævnt ikke mere. De skriver også: ”For at kunne levere tjenesterne til dig er det muligt, at vi opbevarer, behandler og sender data til USA og andre steder rundt omkring i verden – herunder steder uden for dit land.”. Det vil sige, at de sender dine persondata (bl.a.) til USA og skriver direkte, at grunden til det er lovligt er, at de bruger Privacy Shield. Jeg læser det som en tilståelsessag: du kan ikke som virksomhed bruge Dropbox mere.

Hvad gør man i virkelighedens verden? Jeg mener, at man er skakmat. Prøv lige at ringe til Microsoft og bed om et møde, hvor i blandt andet drøfter CIA’s eller FBI’s muligheder for at få adgang til dine persondata efter amerikansk lovgivning. Det er nok ikke så enkelt at få det møde sat i stand (skrevet på jysk).

Hertil kommer at 99,7 pct. af alle virksomheder i Danmark er SMV’er. Det drejer sig om 312.168 virksomheder. Der er kun 881 virksomheder i Danmark, som ikke er SMV’er. Det er muligt at nogle af de største ikke-SMV virksomheder kan håndtere problemstillingen ved brug af deres interne juridiske afdelinger og et stort budget til eksterne advokater. De 321.168 SMV-virksomheder virksomheder har ikke en chance.

Hvad gør man fra politisk side?
Jeg har ikke hørt nogen dansk politiker stille sig frem og sige, at vi har et virkeligt stort problem. Politikkerne har vedtaget en lovgivning, som i virkelighedens verden ikke kan overholdes. Det er da et kæmpe problem.

Jeg mener ikke, at det er holdbart, at der vedtages lovgivning, som i realiteten ikke kan overholdes. I dette tilfælde peger pilen ikke på virksomhederne, men på politikkerne. Jeg ved ikke, om det er fordi, at GDPR er en lidt fjern diffus størrelse og samtidig stammer ”nede fra EU”. Billeder i fjernsynet af døde mink og virksomhedsejere, som har fået smadret deres livgrundlagt over night, er nemmere at forholde sig til end tilretning af Kommissionens standardkontrakter og vurderinger ”essentially equivalent”.

Så hvad skal man gøre?
Stop med at bruge internettet eller overtræd GDPR med åbne øjne. Det er en helt urimelig situation at sætte virksomhederne i, for det eneste, man i realiteten kan gøre, er at overtræde GDPR. Så her en opfordring til politisk handling!

P.S. For at gnide lidt salt i såret, så gælder en tilsvarende problemstilling også for øvrige lande uden for EU/EØS, og det gør jo ikke problemstillingen mere enkel.

Skrevet af

Jakob Dedenroth Bernhoft

Jakob Dedenroth Bernhoft, Juridisk rådgiver, Revisorjura.dk

Jakob Dedenroth Bernhoft er indehaver af revisorJURA, der yder erhvervsjuridisk rådgivning om bl.a. bekæmpelse af hvidvask og beskyttelse af persondata. Han har været kontorchef i Finansrådet, juridisk chef i KPMG og faglig direktør i FSR - danske revisorer. Ud over rådgivning udvikler virksomheden også whistleblower-løsninger.

Klummer

Se alle