Ny EU-dom påvirker dit valg af en SMS-gateway

Tilbage til oversigten
Ny EU-dom påvirker dit valg af en SMS-gateway

EU-US Privacy Shield Framework blev ved en EU-dom (også kaldet Schrems II-dommen) den 16. juli 2020 erklæret ugyldig.

Og hvad kommer det dig ved?
Nogle kan måske fortsætte som de plejer, men for langt størstedelen af virksomhederne i Danmark – og i EU – har dommen en væsentlig betydning for deres GDPR-compliance samt lovligheden af deres behandling af data uden for EU.

Vi gennemgår derfor i dette blogindlæg betydningen af dommen, hvor vi her også kommer ind på, hvorfor du med ro i sjælen kan fortsætte med at anvende GatewayAPI, og stadig være fuldkommen GDPR-compliant.

what-is-privacy-shield_DK_1200x628px

Hvad er EU-US Privacy Shield Framework?

EU-US Privacy Shield Framework var en ramme for regulering af transatlantisk udveksling af personoplysninger til kommercielle formål mellem Den Europæiske Union og De Forenede Stater.

Årsagen til, at EU-US Privacy Shield Framework blev erklæret ugyldig bunder blandt andet i, at USA ikke længere bliver anset som et “sikkert tredjeland” uden for EU at dele data med, da beskyttelsesniveauet i USA er vurderet til at være utilstrækkeligt.

Hurtig oprids af betydningen af dommen

EU-dommen har betydning for en lang række virksomheder, som enten direkte eller indirekte sender personoplysninger til USA via de IT-services, de anvender. Det kan derfor for mange også blive nødvendig at revurdere de services de anvender, da de simpelthen vil bryde GDPR-lovgivningen lige nu ved fortsat brug af tjenesterne.

Det er på nuværende tidspunkt heller ikke fuldstændigt klarlagt, hvad virksomhederne skal stille op her efter dommen for at sikre, at de stadig overholder GDPR-lovgivningen, når de anvender amerikanske tjenester. Der er dog i grove træk nogle nye forpligtelser, som vi vil komme nærmere ind på nedenfor.

Flere peger på, at det er meget tvivlsomt, at de på nuværende tidspunkt vil kunne foretage overførsel af persondata til USA, da dataeksportøren skal sikre, at der opnås en beskyttelse, som svarer til beskyttelsesniveauet i EU, hvilket i lyset af dommen må anses for ikke at være givet.

EU-ruling-impact

Hvilken betydning har det for dig som GatewayAPI-kunde?

I kan trygt fortsætte med at anvende GatewayAPI efter Schrems II-dommen. Først og fremmest er GatewayAPI – såvel som moderselskabet ONLINECITY.IO – grundlagt i Danmark, hvor vi også opererer fra og har hovedkontor i.

Jeres data, som vi er databehandlere for, er opbevaret i EU og forlader ikke de fem datacentre i Belgien, Irland, Finland, Nederlandene og i Danmark. Dertil har vi en ISAE 3000 revisorerklæring fra BDO på, at vi efterlever alle de krav til god og sikker databehandling, som stilles i databeskyttelsesforordningen.

Slutteligt har vi taget flere skridt for at sikre, at vi fremover også er fuldkommen GDPR-compliant, hvilket du kan læse mere om nedenfor.

Uddybende oplysninger til de GDPR-kyndige

I lyset af EU domstolens dom i sagen Schrems-II, som resulterede i ugyldiggørelse af EU-US Privacy Shield Framework som gyldig overførselsgrundlag for overførsler af data til usikre tredjelande, ønsker vi at give vores kunder og samarbejdspartnere en kort gennemgang af de handlingspunkter, vi nu har sat i gang og bliver ved med at tage, indtil både de reelle konsekvenser samt vejledninger er blevet fremlagt af myndighederne, og indtil vi hos GatewayAPI har opdateret overførselsgrundlaget til et gyldigt overførselsgrundlag, hvilket er krav efter denne dom.

 

Kravene for et gyldigt overførselsgrundlag er følgende:

  • Inkorporering af EU-standardkontraktbestemmelserne (SCC) i aftalen med alle leverandører, som enten
    • er beliggende i et usikkert tredjeland (som USA) eller
    • har hovedkontor i et usikkert tredjeland (da det kan antages, at data vil blive overført fra fx et europæisk datacenter til et amerikansk hovedkontor ifm. eksempelvis udlevering af data til myndighederne ifm. national sikkerhed, eller
    • har underleverandører som de overfører/overlader data til, som er beliggende i et usikkert tredjeland.
  • En vurdering af dataeksportøren og hvorvidt bestemmelserne og lovgivningen fastholdt i SCC eller GDPR kan overholdes i importlandet, dvs. om den registrerede kan udøve sine rettigheder, om EU lovgivningen kan blive overholdt, og om beskyttelsesniveauet er passende i importlandet.
  • Afhængigt af og på baggrund af ovennævnte vurdering og omstændighederne ved overførslen, implementering af supplerende foranstaltninger for at sikre, at amerikansk lovgivning ikke påvirker det passende beskyttelsesniveau, som SCC og GDPR garanterer.
  • En bekræftelse fra dataimportøren om at overholdelse af ovennævnte databeskyttelsesklausuler er muligt for importøren, samt en tilføjelse i aftalen med dataimportøren vedr. yderligere forpligtelse til dataimportøren om at informere dataeksportør i tilfælde af enhver manglende evne til at overholde ovennævnte databeskyttelsesklausuler og om nødvendigt enhver supplerende foranstaltning til dem, der tilføjes til disse klausuler, idet dataeksportøren på sin side er forpligtet til at suspendere overførslen af data og/eller at opsige kontrakten med dataimportøren.

Vores tiltag

Til at starte med vil vi gøre opmærksom på, at GatewayAPIs hostingpartner er Google Cloud Platform, hvor de datacentre, som bruges til GatewayAPI, alle er beliggende i EU – i Saint-Ghislain, Belgien, i Dublin, Irland, i Hamina, Finland, i Eemshaven, Holland og i Fredericia, Danmark.

Google LLC har hovedkontor i USA, og vi har taget kontakt til Google vedr. efterspørgsel om deres inkorporering af SCCerne i deres aftaler, samt hvornår de vil kunne give bekræftelse på evnen til at overholde dem. Derudover afventer vi en ændring af deres vilkår, som vil muliggøre overholdelse af SCCerne.

Vi er i tæt dialog med Google, og vil fortsætte med at sende opfølgende henvendelser til dem, så vi hurtigt kan reagere på Schrems-II-dommen. Google referer midlertidigt til, at de allerede har inkorporeret SCCerne (EU-standardkontraktbestemmelserne) i deres aftaler (jf. deres Google Cloud hjemmeside), samt at de vil vende tilbage inden for kort tid med en mere detaljeret udmelding ift. de resterende krav. Vi holder jer selvfølgelig underrettet om udviklingen i sagen.

Vi har derudover kontaktet Datatilsynet for afklaring af, hvad der ligger i den vurdering af retssystemet, retsstaten og muligheden for overholdelse af EU-rettigheder, -standarder, -krav og -lovgivninger, som der nu kræves af databehandlere, og vi afventer lige pt. svar i denne sag.

Vi har også holdt møde med Dansk Erhverv om konsekvenserne af dommen og yderligere foranstaltninger, som kan implementeres, samt hvorvidt ansvaret for vurderingen af retsstaten i det tredjeland kan ligge hos den enkelte dataansvarlige, eller hos det europæiske Datatilsyn, EDPS, hhv. EU’s Databeskyttelsesråd EDPB.

Vores tiltag fremadrettet

Derudover er GatewayAPI i dets regulære compliance og governance arbejde ved at gennemgå leverandører med placering uden for EU, så data som nu ligger i datacentre uden for EU migreres til EU eller leverandører, der ikke tilbyder denne mulighed, udskiftes med europæiske leverandører. Det gælder både leverandører, der indgår i vores rolle som databehandler og vores rolle som dataansvarlig. Et eksempel er Slack, hvor vi er ved at migrere til “data residency”, hvilket betyder at alle data fra Slack og Chatlio opbevares i EU. Alle resterende leverandører bliver kontaktet vedr. kravene og opfyldelse af dem, og på baggrund af deres indsats vurderes, hvorvidt samarbejdet kan fortsætte og dermed blive underlagt de ovennævnte krav.

Vi vil desuden sikre, at SCCerne indarbejdes i databehandleraftalerne med alle dataansvarlige inden for den nærmeste fremtid, så disse er nemmere at håndhæve ift. de underdatabehandlere og leverandører, der ligeledes vil underlægges kravene om at overholde disse bestemmelser.

EU-ruling-impact

Har du yderligere spørgsmål?

Vi står til rådighed for enhver registreret og enhver kunde, eller kundes kunde, der ønsker at drøfte vores compliance med os. Vi er transparente i vores indsats for at tilpasse os Schrems-II-dommen, da vi – uanset EU dom eller ej – ønsker at give vores kunder fuldstændig sikkerhed og tryghed ved at bruge os som leverandør.

Hvis du har specifikke spørgsmål eller opfølgninger ift. det ovennævnte, så står vi klar til at hjælpe. Du kan skrive til os med GDPR-relateret spørgsmål på gdpr@onlinecity.com.