200 danske virksomheder i Datatilsynets søgelys for ulovlig dataoverførsel til USA

Illustration: leowolfert/Bigstock
Datatilsynet har gennemgået sine databaser for at finde frem til de virksomheder, der har anmeldt sager fra år 2000 og frem med særligt personfølsomme data, som ligger i USA

Datatilsynet har gennemgået sine databaser for at finde frem til de virksomheder, der har anmeldt sager fra år 2000 og frem med særligt personfølsomme data, som ligger i USA.

At gemme europæiske persondata i USA kan nemlig ikke længere gøres frit efter den såkaldte Facebook-dom i oktober. Den underkender Safe Harbor-aftalen mellem USA og EU, som hidtil har gjort det muligt for internationale dataleverandører at lagre persondata fra EU i USA

Tilsynet har sendt brev til ca. 200, men det er muligvis ikke alle, fortæller specialkonsulent Jesper Husmer Vang.

Dertil kommer et formodentlig større antal virksomheder, som har overført personoplysninger til USA uden at skulle hente en tilladelse fra Datatilsynet, fordi der ikke er tale om følsomme oplysninger.

Problemet er, at danske virksomheder i dag efter Safe Harbor-dommen overtræder persondataloven, fordi de sender deres data til store leverandører som Google, Dropbox, Amazon og Microsoft.

Ingen har overblik over, hvor mange virksomheder der i dag lægger data på tjenester, som benytter amerikanske servere.

»Men det er givetvis mange,« siger juraprofessor Peter Blume, som er medlem af Datarådet.

Advokat Nis Peter Dall fra firmaet Bird & Bird mener ligefrem, at der er tale om tusindvis.

»Tidligere overholdt man reglerne, når man fik hosted sine persondata hos en leverandør, der var med i Safe Harbor-ordningen. I dag skal man selv finde en alternativ overførselshjemmel. Det er mit indtryk, at mange virksomheder ganske ofte ikke er klar over det,« siger han.

Også data via mobilen

Kravet gælder alle persondata, herunder almindelige løn-, HR- og kundedata, som mange danske virksomheder har liggende i regneark på Google Drive. Selv kontaktdatabaser fra medarbejdernes mobiltelefoner, som synkroniseres mod Googles og Apples servere, kan være omfattet.

EU og USA forhandler lige nu om en ny aftale, som skal sikre, at de amerikanske efterretningstjenester kun har adgang til persondata i et omfang, som ‘er rimeligt i et demokratisk samfund’. Det er den formulering i EU-direktivet, som amerikanerne ifølge EU-Domstolen overtræder i dag.

Indtil udgangen af januar kommer myndighederne, herhjemme Datatilsynet, ikke efter virksomhederne, men arbejder sammen i EU om en fortolkning af dommen og dens konsekvenser.

Læs også: Aktivisten Max Schrems forlanger tre EU-landes indgreb over for Facebooks dataoverførsel til USA

Ifølge den hollandske regering er der ikke udsigt til, at den lander inden fristen 1. februar. Der er nemlig fortsat ikke taget hul på de store knaster om de amerikanske myndigheders adgang til europæernes data.

»Det er langtfra givet, at USA og EU kan blive enige, selv om begge parter har en interesse i det. Derfor bliver virksomhederne nødt til at tænke på, hvad de gør,« siger professor Peter Blume.

Små bøder i Danmark

Overtrædelser af persondataloven er i princippet strafbart.

»Vi ser dog ikke mange sager, og praksis er heller ikke at udstede store bøder,« understreger advokat Nis Peter Dall.

Bødeniveauet i Danmark er få tusinde kroner. Andre EU-lande giver bøder i millionklassen.

Læs også: Datatilsynet vil ikke anerkende kryptering af persondata som alternativ til Safe Harbour

Der er tre typer af standardaftaler, som virksomhederne kan læne sig op ad, når de lægger persondata i skyen. Kun Safe Harbor er underkendt.

Det betyder, at danske virksomheder i stedet for Safe Harbor kan benytte en anden aftale, en standardkontrakt med navnet Standard Model Clauses.

I Dansk Industri kan chefkonsulent Henning Mortensen, der også er medlem af Datarådet, desuden oplyse, at de store dataleverandører gør det enkelt at skifte kontrakttype.

»Man kan hos nogle leverandører blot sætte et flueben et andet sted,« siger Henning Mortensen.

Microsoft fremhæver i en mail til Ingeniøren, at selskabet efterlever standardkontrakten.

Det kan dog være en stakket frist med også standardaftalen, der accepterer samme adgang til persondata for de amerikanske myndigheder som den ulovlige Safe Harbor-aftale.

Spørgsmålet er derfor, om de europæiske datatilsyn også efter 1. februar vil godkende, at data bliver sendt til USA på det grundlag. Det er ifølge Jesper Husmer Vang endnu for tidligt at svare på.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (11)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Bent Jensen

Eller se om man også kan klemme sig ind i Datacentret i Tyskland.
Men om det er nok, hvis der er amerikansk adgang og bestyrelse ved jeg ikke ?

Bøderne bliver også større "bøder på op til 100 millioner euro eller 5% af deres globale omsætning." samt ordentlige huk til det offentlige der ikke ikke har en global omsætning. Og her er bliver der ikke byttet kasse, de forsvinder i EU's kasse.

  • 1
  • 0
Povl H. Pedersen

Jeg troede afgørelsen gik på amerikanske firmaer, uanset lokation. eksemplevis at Micorosft skal udlevere data fra Irland -> USA. Og dermed er det vel alle der har outsource til IBM/CSC m.fl. der er ramt. Blandt andet kongeriget Danmark.

  • 4
  • 0
Kenneth Darling Sørensen

Jeg har ikke læst om emnet ud over artikler og kommentarer her på V2, men kom til at tænke på om websites der er hosted i EU men benytter CDN placeret i USA også vil blive underlagt reglerne? Nogen der har et bud?..

  • 2
  • 1
ab ab

Problemet er, at danske virksomheder i dag efter Safe Harbor-dommen overtræder persondataloven, fordi de sender deres data til store leverandører som Google, Dropbox, Amazon og Microsoft.

Jeg forstår ikke hvorfor Amazon er nævnt blandt de ovenstående, når der endda i artiklen står, at så længe ens databehandleraftale er baseret på Standard Model Clauses, så er grundlaget i orden. Der står følgende i FAQ'en for Amazon Web Services:

Does the AWS Data Processing Agreement contain the Model Clauses?

The Article 29 Working Party has approved the AWS Data Processing Agreement which includes the Model Clauses. The Article 29 Working Party has found that the AWS Data Processing Agreement meets the requirements of the Directive with respect to Model Clauses. This means that the AWS Data Processing Agreement is not considered “ad hoc”. For more detail on the approval of the AWS Data Processing Agreement from the Article 29 Working Party, please visit:

http://www.cnpd.public.lu/en/actualites/international/2015/03/AWS/index....

The Luxembourg Data Protection Authority (the CNPD) acted as the lead authority on behalf of the Article 29 Working Party in accordance with procedure of the Article 29 Working Party.

What does this mean for AWS customers?

AWS customers that collect and store personal information in the Cloud are Data Controllers in the sense of Directive 95/46/EC.

More information can be found about the role of the customer and AWS in the section “Data Protection in the EU The Directive” in the AWS "Whitepaper on EU Data Protection

Kilde: https://aws.amazon.com/compliance/eu-data-protection/

  • 2
  • 0
Laila Jasmin Pedersen

Det er naturligvis interessant, at der nu begynder en større opmærksomhed omkring den ophørte Safe Harbor-ordning.

Desværre har det ikke en større praktisk betydning omkring aflytning på datatransmissioner, da safe harbor alene omhandler lagring af data.

Derudover så har GCHQ (En del af den britiske efterretningstjeneste) et temmeligt tæt samarbejde med NSA og andre amerikanske efterretningstjenester.

I tilgift så har NSA en stor lyttepost placeret på engelsk jord. Og det er tidligere blevet afsløret at NSA har haft (og måske stadig har) placeret udstyr på centrale dele af det tyske tele-netværk.

Bl.a. i forbindelse med deres samarbejde med den tyske efterretningstjeneste.

Så aflytning fortsætter, mens det for hovedparten er FBI's muligheder for at få fat i store mængder data fra datacentre, der nu besværliggøres.

Med hensyn til Datatilsynets sanktionsmuligheder, så har vi jo tidligere set, hvor "store" straffe, de kommer med, selv når der er åbenlyse brud på loven omkring beskyttelse af persondata.

Så jeg tror ikke at det danske Datatilsyn er særligt afskrækkende, hvilket den irske pendant heller ikke er. Derimod skulle man måske kigge mod syd til vores nabo Tyskland, hvor tilsynsmyndighederne bestemt ikke frygter noget.

Det ville være rart, hvis vi herhjemme kunne opbygge en tilsynsmyndighed med samme slagkraft som den tyske.

  • 14
  • 0
Rune Fick Hansen

Hej Ole,

Blot til orientering, så skal virksomheder, der benytter sig af Office 365 eller Google-tjenester ikke være nervøse. Microsoft, Google og nok også de fleste store virksomheder benytter sig typisk både af Safe Harbour, EU's standardkontrakter, BCR samt nationale aftaler med diverse EU-datamyndigheder. Safe Harbour er langt fra (og nok meget sjældent) den eneste ordning, en virksomhed har underskrevet. Så selvom Safe Harbour ikke længere gælder, gør de andre stadig.

Hilsen

Rune Fick Hansen
IT-Branchen

  • 1
  • 0
Pernille Tranberg

Måske man som dk virk bare skulle efterspørge cloud tjenester, der har hovedsæde i Europa? (eks Rushfiles i dk eller T-Systems i Tyskland). En kommende retssag melle Microsoft (og hele US tech industrien) og US gov har stor betyning. Skriver lidt om det her http://dataethics.eu/safe-harbour-en-gevinst/ (sign evt op til Dataethics nye nyhedsbrev)

  • 1
  • 0
Jesper Lund

Blot til orientering, så skal virksomheder, der benytter sig af Office 365 eller Google-tjenester ikke være nervøse. Microsoft, Google og nok også de fleste store virksomheder benytter sig typisk både af Safe Harbour, EU's standardkontrakter, BCR samt nationale aftaler med diverse EU-datamyndigheder.

Og ligeledes blot til orientering: de forhold som førte til ophævelsen af Safe Harbour som et lovligt grundlag for at overføre persondata til USA vil også kunne ramme de andre muligheder, som du nævner (standardmodelkontrakter og BCR). Det kræver blot en enkelt sag. Max er vist i gang, forlyder rygterne på Twitter :)

Kravet om et beskyttelseniveau "som i det væsentlige svarer til det niveau, der er sikret inden for Unionen i medfør af direktiv 95/46, sammenholdt med chartret" (dommens præmis 73) bliver meget svært at sikre, sålænge NSA insisterer på generel adgang til alle vores data.

De sure amerikanere har påpeget, at europæerne er dobbeltmoralske og at tingene ikke er bedre i Europa. Det er sådan set rigtigt nok. En overførsel af persondata til danske FE, og muligvis endda PET [1] der snart skal have oplysninger om alle danskeres flyrejser (I kid you not..), vil måske heller ikke leve om til kravene i dommen. Se eventuelt denne henvendelse som IT-Politisk Forening sendte til retsudvalget vedr. det igangværende PNR-lovforslag
http://www.ft.dk/samling/20151/lovforslag/L23/bilag/4/index.htm
http://www.ft.dk/samling/20151/lovforslag/L23/spm/24/index.htm

Om EU-domstolen så mener, at den har kompetence til at vurdere en overførsel af persondata til GCHQ eller FE/PET efter EU-retten og Charteret må fremtiden vise. Og det vil blive rigtigt interessant for de privatlivsinteresserede, tror jeg (og knap så interessant for investorerne i den globale cloud industri, sålænge vi har nationale efterretningstjenester som insisterer på at de skal have "lov" til masseovervågning af uskyldige borgere).

Men forløbig har EUs højeste domstol afsagt en meget klar dom om overførsel til 3. lande, hvor den i hvert fald har kompetence.

Jesper Lund
Formand, IT-Politisk Forening

[1] Eftersom PET og FE frit kan udveksle oplysninger, når det drejer sig om terror og lignende (straffelovens kapitel 12 og 13), kunne man godt argumentere for at de to institutioner skal betragtes under et for så vidt angår dataoverførsler.

  • 3
  • 0
Log ind eller Opret konto for at kommentere