Jurainfo logo
LUK
Juridiske nyheder Arrangementer Find juridisk specialist Jobbørs Domme
Om Jurainfo Juridiske links Privatlivspolitik Kontakt
Bliv forfatter Bliv kursusudbyder Bliv verificeret specialist Bliv jobannoncør
Artikel

Derfor var tredjelands­overførsel i overens­stemmelse med Schrems II

Kromann Reumert
31/03/2021
Derfor var tredjelands­overførsel i overens­stemmelse med Schrems II
Kromann Reumert logo
Hvordan kan du sikre, at din virksomheds tredjelandsoverførsler til USA er tilstrækkeligt sikre? Det kan du blive klogere på i denne nyhed, hvor vi ser nærmere på en ny fransk afgørelse, der viser, hvordan særlige foranstaltninger kan være vejen frem.

Kort om sagen

En privatdrevet digital platform til brug for bestilling af vaccinationstider anvendte Amazon Web Services i USA som hostingtjeneste via dets Luxembourgske datterselskab, AWS Sarl. Platformen var etableret efter aftale med det franske social- og sundhedsministerium, og de hostede personoplysninger omfattede alene brugerens kontaktoplysninger, som automatisk blev slettet senest tre måneder fra vaccinationstidspunktet, ligesom borgerne selv kunne slette oplysningerne i den mellemliggende periode.

Det fremgik af kontrakten mellem bookingplatformen og Amazon Web Services, at der var implementeret følgende sikkerhedsforanstaltninger:


Kontraktuelle foranstaltninger: Databehandleraftalen indeholdt specifikke procedurer, som Amazon Web Services skulle følge i tilfælde af en udenlandsk myndigheds adgangsanmodning. Amazon Web Services var desuden forpligtet til at udfordre enhver adgangsanmodning fra en offentlig myndighed.

    

Tekniske foranstaltninger: De data, som Amazon Web Services hostede på vegne af bookingplatformen, var krypterede, og nøglen blev opbevaret af en betroet tredjepart i Frankrig for at forhindre, at tredjeparter skulle få adgang til dem.


En række interesseorganisationer lagde sag an ved den øverste administrative domstol i Frankrig og krævede, at social- og sundhedsministeriets aftale med udbyderen af bookingplatformen skulle suspenderes.


Interesseorganisationerne argumenterede for, at det – i lyset af Schrems II-dommen – var i strid med databeskyttelsesforordningen at anvende en databehandler, som overfører personoplysninger til sin amerikanske underdatabehandler (Amazon Web Services).

 

Domstolens afgørelse

Den øverste administrative domstol, Conseil d'État, fandt, at beskyttelsesniveauet i USA ikke var sammenligneligt med beskyttelsesniveauet inden for EU/EØS, men at der var implementeret tilstrækkelige supplerende sikkerhedsforanstaltninger, som sikrede en effektiv beskyttelse af de franske borgeres personoplysninger. Derfor var der ikke anledning til at suspendere social- og sundhedsministeriets samarbejdsaftale med udbyderen af bookingplatformen.


Vores bemærkninger

Dommen er interessant, fordi den belyser hvilke kontraktuelle og tekniske sikkerhedsforanstaltninger, der kan iværksættes for at sikre et tilstrækkeligt beskyttelsesniveau ved tredjelandsoverførsler til USA.


Hvis en dataeksportør henholder sig til Det Europæiske Databeskyttelsesråds vejledning om at iværksætte supplerende sikkerhedsforanstaltninger, vil det altså være muligt at sikre et beskyttelsesniveau, der i det væsentligste er sammenligneligt med beskyttelsesniveauet indenfor EU/EØS. Vejledningen er endnu ikke endeligt vedtaget.


Indtil de endelige versioner af EU-Kommissionens standardkontraktbestemmelser er tilgængelige, kan dataeksportører og dataimportører med fordel overveje at udarbejde et tillæg til deres eksisterende standardkontrakt, som forpligter dataimportøren til at bestride enhver adgangsanmodning fra offentlige myndigheder.


Læs pressemeddelelsen.


Læs dommen (kun tilgængelig på fransk).

Har du spørgsmål til dette indlæg, er du mere end velkommen til at kontakte mig.
Gå ikke glip af vigtig juridisk viden - Tilmeld dig vores nyhedsservice her.
Kromann Reumert logo
København
Sundkrogsgade 5
2100 København Ø
70 12 12 11
mail@kromannreumert.com
Aarhus
Rådhuspladsen 3
8000 Aarhus C
London
65 St. Paul's Churchyard
London EC4M 8AB
Nyhedsservice
Gå ikke glip af vigtig juridisk viden
Vælg selv dine interesseområder og modtag juridisk nyt fra landets førende specialister.
Tilmeld dig nu
Jobbørs
Juridisk chefkonsulent med personaleledelse og faglig tyngde
FOA søger DPO
Skarp jurist med interesse for GDPR, it og dataanvendelse
Fagligt stærke jurister til lov- og reformarbejde på arbejdsskade-området (genopslag)
Annoncér dit stillingsopslag her
Faglige videoer, der kunne være relevante for dig
Hvornår må du udsende nyhedsbreve og tilbud til dine kunder?
Det kræver et markedsføringssamtykke fra dine kunder, hvis du ønsker at udsende nyhedsmail, sms'er eller på anden måde kontakte dem med gode tilbud. Advokat, Torsten Hylleberg, kommer her nærmere ind på hvad du skal være opmærksom på i forbindelse med indhentelse af markedsføringssamtykker.
Artikler, der kunne være relevante for dig
Erhvervsstyrelsen varsler tilsyn på cookieområdet
Erhvervsstyrelsen varsler tilsyn på cookieområdet
19/10/2021
Persondata
Nyt dansk resumé af Databeskyttelsesrådets (EDPB) årsberetning
Nyt dansk resumé af Databeskyttelsesrådets (EDPB) årsberetning
13/10/2021
Persondata
Regeringens lovprogram 2021/2022 i databeskyttelsesretligt perspektiv
Regeringens lovprogram 2021/2022 i databeskyttelsesretligt perspektiv
12/10/2021
Persondata
GDPR: Hvornår har I etableret tilstrækkelige sikkerhedsforanstaltninger?
GDPR: Hvornår har I etableret tilstrækkelige sikkerhedsforanstaltninger?
11/10/2021
Persondata
Ferie ingen undskyldning for forsinket underretning om sikkerhedsbrud
Ferie ingen undskyldning for forsinket underretning om sikkerhedsbrud
08/10/2021
Persondata
Datatilsynet: Forsikringsselskab nægter uberettiget en kunde indsigt i overvågningsmateriale
Datatilsynet: Forsikringsselskab nægter uberettiget en kunde indsigt i overvågningsmateriale
07/10/2021
Persondata
Jurainfo logo

Jurainfo.dk er landets største juridiske online-platform samt formidler af juridisk viden. Her finder du juridiske nyheder, kurser og arrangementer. Vi hjælper dagligt danske virksomheder med at tilegne sig juridisk viden samt at sætte virksomheder i forbindelse med den rigtige juridiske rådgiver, når de har brug for råd og vejledning.

Jurainfo.dk ApS
CVR-nr. 38375563
Vandtårnsvej 77, DK-2860 Søborg
(+45) 71 99 01 11
kontakt@jurainfo.dk
Ønsker du hjælp til at finde en specialist?
© 2021 Jurainfo.dk - Juridiske nyheder og arrangementer samlet ét sted