Fransk fortolkning af Schrems II-dommen i forhold til Cloud-løsninger

Det franske statsråd (Conseil d'Etat) har ved to særskilte lejligheder fortolket Schrems II-dommen i relation til den franske regerings brug af Cloud-løsninger i relation til corona-indsatsen. I begge sager argumenterer klagerne bl.a. for, at behandlingen af personoplysninger udgør en åbenlys ulovlig indblanding i retten til beskyttelse af personoplysninger, da oplysningerne bliver behandlet af firmaer med en organisatorisk relation til USA. Klagerne får ikke medhold i dette i nogen af sagerne, men i den ene sag bliver der stillet krav om tilføjelsen af nye kontraktbestemmelser, der skal hjælpe med at sikre, at personoplysningerne ikke forlader EU/EØS-området.

Afgørelse vedr. Health Data Hub

Den første afgørelse er fra 13. oktober 2020 og omhandler brugen af Health Data Hub, der er en fransk sundhedsplatform, som bliver brugt til at samle og behandle sundhedsdata i relation til ny coronavirus/COVID-19.

Klagerne i sagen argumenterer for, at brugen af Health Data Hub er i strid med Schrems II-dommen og dermed databeskyttelsesforordningen, da ”Microsoft Azure” bliver anvendt til hostning af data. Aftalen er indgået med Microsoft Ireland Operation Limited, der er et datterselskab til det amerikanske firma Microsoft Corporation. Klagerne argumenterer for, at der er en risiko for, at amerikanske myndigheder kan anmode om udlevering af de personoplysninger, der hostes på Health Data Hub.

I afgørelsen lægger det franske statsråd vægt på, at data hostes i Nederlandene, og snart overføres til et datacenter i Frankrig. Det fremgår af instruksen, at data ikke må behandles uden for EU’s geografiske område uden forudgående specifik godkendelse. Det følger også af instruksen, at Microsoft ikke må videregive personoplysninger til offentlige myndigheder med mindre, at dette følger af lov.

Det franske statsråd påpeger i afgørelsen, at EU-Domstolen i Schrems II-dommen ikke har taget stilling til amerikanske virksomheders behandling af personoplysninger inden for EU/EØS-området, men kun den situation, hvor der sker en direkte overførsel til USA. Dette må forstås således, at det franske statsråd mener, at disse to situationer skal opfattes forskelligt, og konklusionerne fra Schrems II-dommen dermed ikke direkte kan overføres til den situation, hvor behandlingen af personoplysninger geografisk sker inden for EU/EØS-området.

Det franske statsråd medgiver i afgørelsen, at brugen af et datterselskab til et amerikansk selskab medfører, at det ikke kan udelukkes, at amerikanske myndigheder vil anmode om at få udleveret personoplysninger. Det franske statsråd lægger dog vægt på, at der ikke i sagen er påpeget en konkret overtrædelse af databeskyttelsesforordningen, men alene en risiko for en sådan overtrædelse, hvis Microsoft ikke er i stand til at modsætte sig en udleveringsanmodning.

Den overordnede konklusion fra statsrådet er, at der ikke sker en behandling i strid med de databeskyttelsesretlige regler, og dermed afviser det franske statsråd klagen. Dog bliver Health Data Hub pålagt at præcisere instruksen til Microsoft, således at det skal fremgå, at det alene er i henhold til Unions lov eller lovgivning i den medlemsstat, som Microsoft er underlagt, at personoplysninger kan videregives til offentlige myndigheder uden godkendelse.

Afgørelse vedr. vaccinebookingsystem

Den anden afgørelse er fra 12. marts 2021 og omhandler et system, der i Frankrig bruges til at tilbyde online booking til corona-vaccination. Løsningen leveres af selskabet Doctolib.

Doctolib anvender Amazon Web Services (AWS) som underleverandør til løsningen, og klagerne i sagen argumenterer for, at behandlingen er i strid med Schrems II-dommen og dermed databeskyttelsesforordningen, da AWS er datterselskab til et amerikansk selskab. Klagerne argumenterer for, at AWS derfor kan blive mødt med en udleveringsanmodning fra de amerikanske myndigheder.

Af aftalen mellem Doctolib og AWS fremgår det, at personoplysninger behandles i datacentre i Frankrig og Tyskland, og AWS er forpligtet til at sørge for, at personoplysninger ikke af tekniske årsager overføres til USA.

Det franske statsråd ligger i afgørelsen vægt på, at aftalens geografiske bestemmelser, samt det forhold, at der er aftalt præcise procedurer for håndteringen af evt. udleveringsanmodninger, herunder at Doctolib er forpligtet til at bestride enhver anmodning, der ikke respekterer EU-reglerne. Derudover lægger det franske statsråd vægt på, at de data, der er hostes hos AWS, er krypteret af en tredje part.

Det franske statsråd kommer herefter frem til, at behandlingen ikke udgør en åbenlys ulovlig indblanding i retten til beskyttelse af personoplysninger, og afviser klagen.

Hvad kan afgørelserne bruges til?

Afgørelserne er afsagt af det franske statsråd, og har således ikke direkte betydning eller præjudice værdi i Danmark, men vi mener alligevel, at afgørelserne er interessante. For det første er det nogle af de første afgørelser vedr. brugen af Cloud-løsninger, der er blevet afsagt i EU siden Schrems II-dommen. For det andet har det franske statsråd nogle interessante synspunkter, som kan blive afgørende for den videre brug af Cloud-løsninger, hvis de vinder udbredelse.

Begge sager handler om brugen af et datterselskab til et amerikansk firma, og i begge sager er data opbevaret i datacentre i EU. Det franske statsråd medgiver – mere eller mindre direkte – i sagerne, at den dataansvarlige skal forholde sig til den blotte mulighed for, at personoplysninger kan blive udleveret til USA, hvis man som dataansvarlig anvender en leverandør, der er datterselskab til et amerikansk firma. Det franske statsråd kommer dog også i begge sager frem til, at brugen af en Cloud-løsning, hvor data opbevares i datacentre inden for EU/EØS-området, ikke i sig selv er i strid med Schrems II-dommen. Og i begge sager er de supplerende foranstaltninger, der er implementeret tilstrækkelige.

Afgørelserne fra det franske statsråd er konkret begrundet, og i begge afgørelser lægger statsrådet vægt på, at behandlingen er nødvendig af hensyn til corona-indsatsen. Det er dermed ikke sikkert, at det franske statsråd havde vurderet sagerne på samme måde, hvis behandlingen af personoplysninger var mindre samfundskritisk.

Omvendt ved vi heller ikke, om Datatilsynet og EDPB vil anvende samme fortolkning som det franske statsråd og anerkende den blotte mulighed for en udleveringsanmodning som et forhold, man som dataansvarlig skal regulere. Hvis det i databehandleraftalen er reguleret, at data ikke må behandles uden for EU/EØS-området, vil dette efter en traditionel fortolkning være tilstrækkeligt i forhold til regulering vedr. overførsler til tredjelande.

Står man som dataansvarlig over for at skulle indgå en aftale om en Cloud-løsning med et datterselskab til et amerikansk firma, vil vi dog anbefale, at man i instruksen får håndteret den blotte mulighed for en udleveringsanmodning. På den måde har man fremtidssikret aftalen, hvis Datatilsynet og EDPB vælger samme fortolkning af Schrems II-dommen som det franske statsråd.

Med baggrund i afgørelserne fra det franske statsråd, kan dette bl.a. gøres ved i instruksen at skrive,

• at data kun må behandles uden for de aftalte geografiske områder efter specifik godkendelse,
• at data kun må videregives til offentlige myndigheder uden godkendelse, hvis dette følger af Unions lov eller lovgivning i den medlemsstat, som selskabet er underlagt, og
• at leverandøren skal bestride enhver anmodning, der ikke respekterer EU-reglerne.