Organisationer efterspørger klar aftale om dataoverførsler efter Schrems II-dom

Illustration: Jarretera / Bigstock Photo
IT-Branchen og Dansk Erhverv efterspørger i høringssvar til EU, at der bliver indgået klare aftaler for overførsel af persondata til tredjelande i kølvandet på den såkaldte Schrems II-dom.

Der er behov for, at EU laver en klar aftale for overførsel af persondata til tredjelande i kølvandet EU-domstolens afgørelse i den såkaldte Schrems II-dom.

Sådan lyder opfordringen fra brancheorganisationerne IT-Branchen og Dansk Erhverv, der har sendt et høringssvar til Det Europæiske Databeskyttelsesråd (EDPB), skriver Computerworld.

Afgørelsen fra EU-Domstolen betød, at EU's tidligere aftale om overførsel af persondata til USA ved navn Privacy Shield, blev underkendt.

Det har ført til forvirring i det europæiske erhvervsliv, og selvom EU er kommet med en række anbefalinger på området, er der ifølge de to organisationer brug for klare aftaler, hvis man vil undgå, at situationen får konsekvenser for den digitale udvikling i Danmark og resten af EU.

»Vi har ikke i dag reelt muligheden for at fravælge dataoverførsler til 3.-lande, og i særdeleshed ikke til USA. Det er derfor meget vigtigt, at EDPB (EU's datatilsyn, red.) – indtil der foreligger en ny aftale med USA – fremkommer med detaljerede retningslinjer og eksempler, der viser, hvordan tingene skal gøres i praksis,« lyder det fra Martin Jensen Buch, chefkonsulent i IT-Branchen, i meddelelsen.

Han bakkes op af erhvervsjuridisk chef i Dansk Erhverv, Sven Petersen, som peger på, at det er vanskeligt for eksempelvis små virksomheder at navigere i lovgivningen på området på trods af EU's anbefalinger for dataoverførsel til tredjelande.

Det kan tage flere måneder for EU, før en ny aftale om dataoverførsel er på plads med USA, og ifølge de to brancheorganisationer bør den opgave stå øverst på prioriteringslisten i EU sammen med arbejdet om en Brexit-aftale.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (11)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Claus Bobjerg Juul

Hold nu op, de eneste der er forvirret er cheferne. Alle med forstand på IT har altid vis hvad god skik har været. Forstå hvordan dit IT miljø og data fungere og kan tilgås! Det hovedbudskabet fra EU. Dem som gerne vil købe IT som en service uden at forstå hvordan det fungere bør slet ikke behandle persondata.

  • 16
  • 0
#2 Bjarne Nielsen

Schrems sagerne startede 2011 og det burde være klart for selv den mest tungnemme, hvad vej den vind blæste. Hvordan kan man kalde sig selv professionel, og ikke straks med dommen over Safe Harbour havde iværksat arbejdet med alternativer?

Det er jo åbenlyst, at der er en grundlæggende og soleklar modstrid imellem amerikansk og europæiske lovgivning, og det er der ingen afklaringer eller aftaler, som kan ændre på.

Hvis jeg sad i ejerkredsen, så ville jeg overveje om ikke den form for inkompence og manglende realitetssans skulle have konsekvenser.

  • 16
  • 0
#3 Morten Grouleff

»Vi har ikke i dag reelt muligheden for at fravælge dataoverførsler til 3.-lande, og i særdeleshed ikke til USA.«

Jo vi har. Hvorfor skulle vi ikke have det? Er der en lov imod at bruge lokale datacentre?

Vi kan bruge datacentre i DK/EU uden ejere udenfor EU.

Men det er besværligt, for det indebærer at fravælge alle selskaber stor tilknytning til USA, og det er ofte ikke så let som det måske lyder. Det udelukker alle de store.

Nej, jeg tror ikke på at der er nogen forvirring. Jeg tror, at alle er klar over, at det er et problem, men de fleste afventer nok om alle kan forsætte med at "lege struds" og lade som ingenting alligevel... Det er for svært at se realiteterne i øjnene for rigtig mange.

Det er dovenskab og økonomi. Ikke mangel på andre muligheder indenfor reglerne.

  • 16
  • 1
#4 Finn Christensen

Det er dovenskab og økonomi

Nok lidt mere kompleks efter min viden..

1) Viden, evner, samt lurpasseri samt dovenskab og 5) økonomi, hvor de sidste tre desværre vejer tungt.

En række SM-virksomheder/-institutioner (1-3) samt dele af ledelsespyramider aner faktisk kun svagt om den type problemer og afledte konsekvenser, og enhver abekat med tøj på (= it'viden) undgår da så vidt muligt enhver aktivitet, der kan skubbes til en anden god dag ;)

EU har sejlet uden rorgænger i årtier på det her område

  • 2
  • 0
#6 Kristian Klausen

Mnja... Økonomi er reelt set bagvendt for alle ved at man ikke kan køre billigere end på eget jern - man betaler KASSEN for Amazons og Microsofts tjenester.

Hvis du udelukkende skal bruge rå regnekraft, så vil jeg give dig ret. Men hvis man bruger deres managed services, så er billedet lidt mere mudret.

Det som er problemet er at ma stedet for at betale til "cloud" skal frem og betale løn, licenser og hardware og det er jo så komplekst.

Det er i hvert fald mere komplekst end at svinge betalingskortet ;) Men hvis man har kompetente IT-folk i forvejen, så er det da ladsiggørligt. Nu findes der dog mange ikke IT-virksomheder, der bare betaler for f.eks. Office 365 eller Google Workspace, hvor det kan være lidt op ad bakke.

Men lad os se om der kommer noget håndhævelse på et tidspunkt eller om de er "too big to fail".

  • 6
  • 0
#7 Rune Jensen

Med tryk på PRIVATE borgere, finder jeg det egentlig utroligt, at der ikke findes organisationer som kæmper for retten til privat liv på internettet.

Det er jo kendt at hvis en hjemmeside har et facebook log-in, så støvsuger facebook hjemmesiden for data, det vil sige de folk som besøger siden.

Jeg synes det utroligt at politiske partier ikke op prioriterer dette meget mere, man har før været stolt over brevhemmeligheden, svejske bank hemmeligheder (som ikke findes mere) og lign. nu er det som om alt skal læses som en åben bog.

Jovist, det hjælper imod korruption og lyssky handlinger, og det er skam også rart! Det er dejligt at se, at det som før kunne lade sig gøre for de lyssky typer er blevet besværlig gjort. Men betyder det så at vi skal acceptere at blive profileret ?

Der findes organisationer som er imod politiet laver den slags profilering, men man accepterer selv samme "fordi det er internettet" ?

Jeg kan godt huske da Schrems startede ud med sine søgsmål, men ærgerligt at det nu er erhvervslivet som prøver at løbe videre med bolden, nu hvor de har opdaget at de kaster deres dyre data væk, og det ikke er almindelige borgere som tænker mere over det som er sat igang, og endnu værre er det at regeringer og partier er fuldkommen ligeglade

  • 4
  • 0
#8 Bjarne Nielsen

Med tryk på PRIVATE borgere, finder jeg det egentlig utroligt, at der ikke findes organisationer som kæmper for retten til privat liv på internettet.

Jeg ved ikke helt, hvad du præcist tænker på her, så jeg skyder lidt med spredehagl:

Lad mig først henvise til GDPR artikel 80, 2:

Member States may provide that any body, organisation or association referred to in paragraph 1 of this Article, independently of a data subject’s mandate, has the right to lodge, in that Member State, a complaint with the supervisory authority which is competent pursuant to Article 77 and to exercise the rights referred to in Articles 78 and 79 if it considers that the rights of a data subject under this Regulation have been infringed as a result of the processing.

Første afsnit i artikel 80 går på, at du, som "datasubjekt" må få andres hjælp til at føre din sag (med visse forbehold, bevares). Andet afsnit (det citerede) går på, at samme kreds af organisationer ikke behøver at vente på en konkret henvendelse om en konkret sag fra en konkret person, som vil lade organisationen rejse en sag på personens vegne, men at organisationerne helt generelt kan klage over at databehandling ikke sker i ovenensstemmelse med direktivet.

Men bemærk, at det lades op til medlemsstaterne selv (der står "may") om dette skal være en mulighed. Som jeg husker fra høringssvarene, så var der mindst en dansk forbrugerorganisation, som tilbød sig her (jeg kan huske forkert).

Men den danske stat valgte alligevel at Art. 80, 2 ikke skulle gælde i Danmark. Her kan man så tænke sit over hvorfor mon; jeg ville ikke være overrasket, hvis DI, KL eller lign. havde hvisket justitsministeren i ørene, at det ville være usædvanligt byrdefyldt, og ville komme til at koste arbejdspladser og skræmme udenlanske investeringer væk ... og er de bøder ikke lige voldsomme nok allerede?

Så en del af svaret på, hvorfor der ikke findes sådanne organisationer er, at det har de politikere, som er valgt af dig og mig, fravalgt på vores vegne, da GDPR skulle implementeres.

Det andet, som jeg vil henvise til, at vores lokale IT-politisk forening og på europæisk plan EDRi. De virker godt nok ikke, når først man er kommet i klemme, for de prøver i stedet at tage alt dette i opløbet, inden det bliver til lovgivning med uheldig slagside. Så her er der faktisk nogle, som prøver at tale borgernes sag; vi kan ellers nemt bliver overset, for der er mange stærke sær-interesser, som ikke holder sig tilbage i deres forsøg på påvirkning (sikker til tonerne af "usædvanligt byrdefuldt" og "koster arbejdspladser og investeringer", mmm, mmm). De gør efter min mening et yderst vigtigt stykke arbejde, selvom de måske ikke lige er det, som du efterlyser.

Nu nævner du selv Max Schrems, og så er det naturligt at pege på NOYB - tag et kig nedover deres forside her: https://noyb.eu/en - der er stort og småt, og der er også konkrete sager, for NOYB har en grundholdning om, at regler er værdiløse, hvis ikke de bliver brugt.

Nogle af sagerne er nærmest kafkask absurde, som f.eks. denne sag: https://noyb.eu/en/credit-scoring-negative-credit-rating-generated-witho... - her kan en borger ikke blive kunde hos et el-selskab, fordi han kreditscore er 446/700; da han så spørger om, hvordan de er kommet frem til det, og hvilke oplysninger de har om ham, så kører den store strygersektion, og nu påstår de, at de slet ikke kender ham, og slet ikke har behandlet hans data, og der derfor ikke er noget at svare!

Det er nok det tætteste, som jeg kan komme. Måske er der andre, som har bedre forslag?

(full disclosure: jeg tror så meget på NOYB, at jeg har valgt at kaste penge efter dem ... måske siger det noget om, hvor naiv jeg er ... tilsæt selv skepsis efter smag :-) ).

PS: Kast også et blik på denne nyhed: https://noyb.eu/en/schrems-ii-reaches-us-legislator-us-senate-hearing-eu... - en kongres-høring om Schrems II, hvor man vælger at kun at invitere Facebook og venner, herunder repræsentanter for det irske datatilsyn (som virker lige så interesseret i at holde Facebook og andre tech-giganter i ørerne, som irerne er i at få f.eks. Apple til at betale en rimelig selskabsskat ... 0,0015%, mmm, mmm).

  • 8
  • 0
#9 Rune Jensen

Min tanke er som privat person, hvorfor er jeg så til "salg" bare fordi man er på internettet. Det er der min tanke er henne.

Hvorfor skal jeg være tilsalg bare fordi en hjemmeside har valgt at have et facebook log-in, så selvom jeg ikke har lyst til at bruge facebook login, at jeg som person (min data) er automatisk til salg, til trods for jeg ingen hensigt har omkring at have den salgs data lagret eller solgt videre til 3. part.

Det er jo det som Google og Facebook f.eks. handler med, deres store kæmpe database omkring folk på internettet, som så bliver profileret (personlige reklamer/henvisninger).

Og vi ved også at Google har helt basale krav til virksomheder om at de skal overholde googles retningslinjer for at blive vist på deres søgemaskine.

Jeg er helt med på at "så kan du undlade at bruge deres service" men det ville jeg også gerne hvis hjemmesider jeg bruger også undlader at bruge diverse plugins fra netop førnævnte virksomheder.

Og for at spænde sølvpapirshatten rigtig stramt på mit hoved.

Så er min erfaring at facebook har meget vidtrækkende informationer om en som personer. Der fik f.eks. ikke mere end et par uger, så fik jeg "anbefalet" venner fra facebook omkring nye kollegaer på en ny arbejdsplads. Til trods for min profil har ingen relationer til nogen som helst. Eller indtastet data i den ene eller anden art på facebook eller facebook chats osv.

Dét er noget som bekymre mig rigtig meget.

Folk er tit bange for Kina og deres overvågning, men man tager glædeligt imod overvågning fra private amerikanske virksomheder og siger "det er helt okay de er jo fra vesten og store USA".

Det som er lovligt i dag, er måske ikke lovligt imorgen, derfor er jeg meget imod at man gemmer data på borgere som ikke ønsker dette. Og når der eksisterer virksomheder som er eksperter i dette og sporer dig som de gør, så kræver det ikke meget fantasi til at tænke sig til at det er meget få tiltadg der skal til før at det går galt.

Vi har jo fortiden til at fortælle os om den slags fejltrin.

Informationer vinder krige, og USA er et af de nationer som gang på gang har vist de ikke er blege for at indhente informationer på en lyssky måde for at bruge dem til egen fordel. Ja andre nationer gør det også, bare ingen nationer som sidder på en solid database som amerikanerene gør.

Ikke mange beskidte hemmeligheder der skal frem om en person for at få dem til at føje dig. Det kan vi jo se her i Danmark. Her er mange gode vennetjenester blandt det offentlige og private, det sker nok også i samme grad eller mere i USA.

Derfor privatlivet burde have meget højere prioritet i Dansk og international interesse. Alt andet er bare ikke godt nok i mine øjne.

  • 4
  • 0
#10 Aksel Koplev

Lad mig først henvise til GDPR artikel 80, 2:

GDPR teksten findes selvfølgelig oversat til dansk, så her er den citerede artikel 80.2 på dansk:

  1. Medlemsstaterne kan fastsætte, at ethvert organ, enhver organisation eller enhver sammenslutning, jf. denne artikels stk. 1, uafhængigt af en bemyndigelse fra den registrerede har ret til at indgive en klage i den pågældende medlemsstat til den tilsynsmyndighed, der er kompetent i henhold til artikel 77, og til at udøve de rettigheder, der er omhandlet i artikel 78 og 79, hvis den/det har grund til at formode, at den registreredes rettigheder i henhold til denne forordning er blevet krænket som følge af behandling.
  • 0
  • 0
#11 Henning Wangerin

Det er jo kendt at hvis en hjemmeside har et facebook log-in, så støvsuger facebook hjemmesiden for data, det vil sige de folk som besøger siden.

Det behøver det nu ikke at gøre.

Jeg har diverse login-udbydere kørende på flere sites, hvor de alle først finder ud af noget som helst når du klikker på linket med at ligge ind via dem. Og efter at du er blevet logget ind, får de heller ikke mere at vide.

Det gører fint nok.

Problemet er ikke login-via funktionerne, men alt det andet skrammel som folk lægger på deres hjemmesider vra diverse udbydere.

/Henning

  • 2
  • 0
Log ind eller Opret konto for at kommentere