Schrems II-dommen har givet alle danske virksomheder og myndigheder, der bruger amerikanske cloud-tjenester, en juridisk hovedpine af de større.
Ingen er helt sikre på, hvordan man bliver 'compliant', og nu meddeler Datatilsynet med sin tilsynsplan for 2021, at man vil føre tilsyn med tredjelandsoverførsler allerede i år.
»Med den såkaldte Schrems II-afgørelse i 2020 slog EU-Domstolen fast, at man som dataeksportør er forpligtet til at sikre et essentielt tilsvarende beskyttelsesniveau i tredjelandet, og at dette i nogle tilfælde kræver, at man – ud over at tilvejebringe et overførselsgrundlag – iværksætter supplerende foranstaltninger,« hedder det i den nye tilsynsplan.
»Datatilsynet har – navnlig i lyset af Schrems II-afgørelsen – besluttet i 2021 at føre tilsyn med en række virksomheders og offentlige myndigheders overførsel af personoplysninger til tredjelande.«
Udover tredjelandsoverførsler vil Datatilsynet også fokusere på gamle klassikere som kontrol med databehandlere, ligesom man også vil gå myndigheder og virksomheder i sømmene på følgende områder.
- adgangs- og rettighedsstyring,
- anvendelse af personoplysninger i forbindelse med it-udvikling og test,
- håndtering af personoplysninger, som 'tages ud af' dertil indrettede it-systemer, f.eks. på bærbare elektroniske medier eller på papir mv. (uddatamateriale),
- om brud på persondatasikkerheden håndteres og anmeldes i overensstemmelse med reglerne herom.