Amerikanske myndigheders krav på udlevering af data i EU

Kan de amerikanske myndigheder kræve din virksomheds persondata udleveret, selvom dataene befinder sig uden for de amerikanske grænser, f.eks. i EU? Svaret er endnu ikke endeligt afklaret, men indtil videre tyder det på, at svaret bliver et ja. Danske virksomheder skal dog være opmærksomme på en række persondataretlige begrænsninger, hvis de amerikanske myndigheder banker på døren, da virksomhederne ellers kan risikere at komme i klemme i forhold til den danske persondatalov.

HAR DIN VIRKSOMHED PLIGT TIL AT VIDEREGIVE PERSONOPLYSNINGER TIL ANKLAGEMYNDIGHEDEN I USA?
Den amerikanske anklagemyndighed er uden tvivl kendt for at gå effektivt til værks, og derfor er det måske ikke overraskende, at Microsoft i Irland er blevet dømt til at udlevere europæiske kundedata fra en server placeret Irland. Tvisten opstod, da anklagemyndigheden i New York krævede e-mails fra kunder udleveret af Microsoft, hvilket Microsoft nægtede under henvisning til, at dataene befandt sig på servere i Irland. Efter amerikansk ret kan myndighederne kræve dataene udleveret, selvom dataene befinder sig i et andet land, hvis blot et amerikansk firma har adgang til dataene. Men udlevering af dataene ville være i strid med den irske persondatalovgivning, hvorfor Microsoft nægtede at følge afgørelsen.

Sagen medførte så meget postyr i Irland, at den irske regering skrev en formel støtteerklæring til Microsoft. En række af de store cloud-udbydere har også meldt sig under fanen af Microsoft-støtter, da myndighedernes brug af lovgivningen indebærer, at cloud-udbydere, som operer i USA, er betydeligt mindre attraktive for kunder i andre lande, hvis de ikke kan tilbyde en "neutral" opbevaring af data.

Det forventes, at Microsoft vil gøre brug af sine appelmuligheder, og sagen er dermed endnu ikke et overstået kapitel.

Hvis din virksomhed bruger cloud-baserede løsninger fra amerikanske leverandører, opbevares eller tilgås dataene højst sandsynligt i USA. Dette vil også være tilfældet, hvis din virksomheds samarbejdspartnere, databehandlere eller koncernrelaterede selskaber behandler dine data i USA. I så fald kan I risikere at blive bedt om at udlevere personoplysninger til de amerikanske myndigheder. Udlevering bør dog aldrig ske uden indhentelse af forudgående rådgivning og – om nødvendigt – drøftelser med Datatilsynet.

SAMARBEJDSAFTALEN MELLEM ERHVERVSSTYRELSEN OG PUBLIC COMPANY ACCOUTING OVERSIGHT BOARD (PCAOB)
Et andet eksempel på en forespørgsel om udlevering af data til de amerikanske myndigheder er anmodninger fra det amerikanske revisortilsyn PCAOB. Tilsynet kan, både i forbindelse med en igangværende inspektion og via indlevering af de forskellige revisorerklæringer (de såkaldte Forms), efterspørge materiale eller forlange samtykke fra danske revisionsvirksomheder, der er registreret hos PCAOB. Det efterspurgte materiale kan indeholde personoplysninger, som revisionsvirksomhederne som dataansvarlige har ansvaret for, og revisionsvirksomhederne skal sikre, at materialet lovligt kan videregives til de amerikanske myndigheder. Som udgangspunkt kræver det, at virksomhederne forinden sorterer i, hvilke oplysninger PCAOB kan modtage.

I 2014 indgik Erhvervsstyrelsen en samarbejdsaftale med PCAOB om tilsynet med de danske revisionsvirksomheder, der er registreret hos PCAOB, og amerikanske revisionsvirksomheder der er registreret i Danmark. Efter samarbejdet er etableret, vil materialet ikke længere skulle afleveres direkte til PCAOB i forbindelse med en inspektion, men derimod til Erhvervsstyrelsen som derefter vil formidle materialet videre til PCAOB.

Virksomhederne skal dog fortsat være opmærksom på, at persondatalovgivningen skal overholdes, når personoplysningerne videregives til Erhvervsstyrelsen. Det kan nemlig ikke udelukkes, at PCAOB kan efterspørge personoplysninger, som efter dansk ret ikke lovligt kan videregives, og sådanne oplysninger vil heller ikke lovligt kunne videregives til Erhvervsstyrelsen. I denne sammenhæng er det nemlig uden betydning, at Erhvervsstyrelen vil sortere oplysningerne, inden de videregives til PCAOB.

 

---