Aktuelt

Holst, Advokater Advokatpartnerselskab
T, +45 8934 0000
F, +45 8934 0001

info@holst-law.com

CVR: 35680470

Åbningstider:
Mandag – fredag kl. 8.00-17.00

Aarhus

Hans Broges Gade 2

DK-8000 Aarhus C

København

Indiavej 1

DK-2100 København Ø

Persondataretlige nyheder – marts 2021

Udvalgte afgørelser inden for persondata fra marts:

Fransk afgørelse kan få stor betydning for muligheden for lovligt at anvende europæiske datterselskaber med amerikansk moderselskab til hosting af data

Den 12. marts 2021 besluttede Conseil d’Etat (Frankrigs højeste administrative domstol), at personoplysninger på en platform, der blev brugt til at booke COVID-19-vaccinationer, administreret af selskabet Doctolib og hostet af Amazon Web Services, var tilstrækkeligt beskyttet i tilfælde af en anmodning om adgang fra de amerikanske myndigheder. Der var nemlig blevet etableret tilstrækkelige juridiske og tekniske sikkerhedsforanstaltninger.

Den omstændighed, at Amazon Web Service er underlagt amerikansk lov gjorde ikke risikoen for amerikanske myndigheders adgang uforenelig med GDPR i henhold til “Schrems II”-afgørelsen fra EU-domstolen i juli 2020.

Sagen handlede om personer, der i Frankrig skal vaccineres mod COVID-19, som ved en online søgning kan finde en liste over vaccinationscentre og booke vaccination direkte online via Doctolib-platformen, som er resultatet af et partnerskab mellem det franske ministerium for sociale anliggender og sundhed og forskellige udbydere, herunder Doctolib.

Med henblik på at opbevare de indsamlede data havde Doctolib indgået en aftale med Amazon Web Service Sarl i Luxemburg, datterselskab af Amazon Web Services i USA.

Bl.a. som følge af Schrems II-afgørelsen anmodede en række sundhedsfaglige foreninger og fagforeninger om, at domstolen suspenderede brugen af Doctolib og samtidig pålægge social- og sundhedsministeriet at bruge en anden løsning til styring af vaccinationskampagnen.

Domstolen konkluderede, at de data, som Doctolib overgav til det luxembourgske selskab Amazon Web Services Sarl, alle var hostet i datacentre i Frankrig og i Tyskland, og at der i den kontrakt, der var indgået mellem parterne, ikke var bestemmelser om, at der måtte ske overførsel af data til USA.

Da Amazon Web Service Sarl imidlertid er et datterselskab af et selskab underlagt amerikansk lovgivning, vurderede domstolen, at Amazon Web Service Sarl i Luxemburg imidlertid kunne være genstand for adgangsanmodninger fra amerikanske myndigheder inden for rammerne af amerikanske overvågningsprogrammer baseret på artikel 702 i FISA (Foreign Intelligence Surveillance Act) eller Executive Order 12333.

I forlængelse af Schrems II-afgørelsen var det derfor nødvendigt at kontrollere beskyttelsesniveauet for behandling af personoplysninger under hensyntagen til både de juridiske garantier, dvs. bestemmelserne i den kontrakt, der blev underskrevet mellem Doctolib og AWS Sarl i Luxemburg, og de tekniske sikkerhedsforanstaltninger under hensyntagen til kategorien af de involverede data.

I dette tilfælde mente domstolen, at beskyttelsesniveauet var tilstrækkeligt på grund af de mange beskyttelsesforanstaltninger, der var på plads.

Domstolen bemærkede bl.a. følgende:

  • at kontrakten, der var indgået mellem Doctolib og Amazon Web Service Sarl, indeholdt en procedure i tilfælde af, at en udenlandsk myndighed måtte anmode om adgang til data, herunder, at Amazon Web Service Sarl ville udfordre enhver generel adgangsanmodning fra en udenlandsk offentlig myndighed,
  • at de data, som Amazon Web Service Sarl hoster, er krypteret, og nøglen opbevares af en tredjepart i Frankrig, ikke af Amazon Web Service, for at forhindre, at data kan tilgås af uvedkommende,
  • at de hostede data alene vedrører identifikation af enkeltpersoner med henblik på at foretage aftaler og ikke følsomme personoplysninger i form af f.eks. specifikke helbredsoplysninger,
  • at data bliver slettet tre måneder efter vaccinationen, og brugerne har mulighed for at slette deres data direkte online, hvis de ønsker det.

På denne baggrund fandt domstolen, at beskyttelsesniveauet for de opbevarede data var tilstrækkeligt i forhold til de enkeltes risiko, hvorfor domstolen nægtede at pålægge det franske ministerium for sociale anliggender og sundhed at stoppe brugen af platformen.

Afgørelsen kan få stor betydning for europæiske virksomheder, der benytter amerikanske selskaber til at hoste data via disses europæiske datterselskaber. I modsætning til Schrems II-sagen var problematikken her ikke, at der skete overførsel af data til USA, men snarere at databehandleren er et europæisk datterselskab med et amerikansk moderselskab. Ved at tage de nødvendige tekniske og juridiske foranstaltninger kan man fremadrettet lovligt benytte europæiske datterselskaber af amerikanske virksomheder.

Pressemeddelelse med link til afgørelsen kan findes her (på fransk)

Familieretshuset får alvorlig kritik for manglende foranstaltninger og manglende databehandleraftaler

Efter 158 persondatabrud, hvoraf 130 vedrørte utilsigtet videregivelse af personoplysninger, herunder oplysninger om personer med navne- og adressebeskyttelse, og syv konkrete klager over Familieretshusets behandling af personoplysninger, foretog Datatilsynet et tilsyn med Familieretshusets persondatabehandling.

Fokus på tilsynet var at

  • undersøge sikkerheden ved Familieretshusets manuelle behandlinger og håndtering af menneskelige fejlkilde,
  • undersøge sikkerheden ved Familieretshusets selvbetjeningsløsninger samt Familieretshusets retningslinjer for anonymisering af materiale, der blev videregivet til andre personer og myndigheder.

Datatilsynet fandt ved en gennemgang af de skete persondatabrud, at der i Familieretshusets selvbetjeningsløsninger var sket utilsigtet videregivelse af omkring 3.400 personers oplysninger. Dette på grund af en kendt teknisk fejl i en komponent, der havde været i drift i en årrække.

Selvom få af de behandlinger, Familieretshuset foretager, resulterer i persondatabrud, fandt Datatilsynet flere tilfælde, hvor fejlene relativt let kunne undgås. Dette gælder både i forhold til en opstramning af de organisatoriske foranstaltninger, der var implementeret, men også i forhold til vurderingen af risikoen for de registrerede.

Datatilsynet fandt også enkelte punkter, hvor måden IT-understøttelsen blev designet og benyttet på, burde optimeres.

Datatilsynet udtalte derfor alvorlig kritik af

  • at Familieretshusets persondatabehandling ikke er sket i overensstemmelse med reglerne i databeskyttelsesforordningens artikel 32, stk. 1,
  • at Familieretshuset ikke i overensstemmelse med databeskyttelsesforordningens artikel 28, stk. 3, havde iagttaget kravet om skriftlig databehandleraftale, og
  • at der i en anden databehandleraftale ikke var udarbejdet en skriftlig databehandlerinstruks.

Læs hele afgørelsen her.

Tysk bøde på EUR 300.000 for uagtsom overtrædelse

Fodboldklubben VfB Stuttgart 1893 AG i Tyskland er blevet pålagt en bøde på EUR 300.000 for ikke at overholde sine forpligtelser i henhold til databeskyttelsesforordningens artikel 5, stk. 2.

Datatilsynet i Baden-Württemberg (LfDI) fandt, at fodboldklubben ikke havde levet op til de grundlæggende behandlingsprincipper, herunder kravet om dokumentation for sin compliance.

Selvom fodboldklubben hjalp datatilsynet i stort omfang med efterforskningsarbejdet, at overtrædelsen blev anset som uagtsomt, at fodboldklubben foretog betydelige organisatoriske og tekniske forbedringer med hensyn til databeskyttelse, at fodboldklubben i samordning med datatilsynet traf foranstaltninger for at gøre de unge opmærksomme på databeskyttelsesspørgsmål, så endte sagen alligevel med et bødepålæg.

Læs hele pressemeddelelsen her (på tysk).

Henrik Chr. Strand

Associeret partner

hcs@holst-law.com

Dir, +45 8934 1144

M, +45 3010 2186

Se profil

Andre nyheder

Nyt fra Civilprocessen, marts 2024

Bestyrelsens bæredygtighedsforpligtelser efter EU-retten