Fransk domstol godkender overførsel af personoplysninger til USA, men er der overhovedet noget nyt?

– Den 12. marts 2021 godkendte Frankrigs øverste administrative domstol det franske sundhedsministeries overførsel af personoplysninger til USA. Domstolen lagde vægt på, at overførslen var krypteret i overensstemmelse med EDPBs seneste anbefaling.

I forbindelse med Covid-19-vaccinationen gør det franske sundhedsministerie brug af et bookingsystem fra den franske virksomhed Doctolib. Franske Doctolib benytter sig af en cloudløsning hostet af det Luxembourgske selskab Amazon Web Services Sarl, der er et datterselskab til det amerikanske Amazon Web Services Inc. Da amerikanske myndigheder kan kræve personoplysninger udleveret – ikke alene fra amerikanske virksomheder, men også fra dets datterselskaber – er der ved brugen af cloudløsningen reelt adgang til personoplysningerne fra USA.

På baggrund heraf blev der indgivet klage til Frankrigs øverste administrative domstol over det franske sundhedsministerie. I klagen blev det – med henvisning til EU-Domstolens afgørelse i Schrems II – gjort gældende, at overførslen til USA er ulovlig, idet der ikke er sikret en tilstrækkelig beskyttelse mod de amerikanske myndigheders adgang til personoplysningerne.

Domstolen kom imidlertid frem til at det franske sundhedsministerie har sikret sig tilstrækkelige supplerende foranstaltninger for at sikre beskyttelsen af de registreredes rettigheder. I sin afgørelse lagde den franske domstol særligt vægt på følgende:

• personlysningerne har ikke karakter af følsomme personoplysninger, idet behandlingen ikke omfatter helbredsoplysninger, men kun oplysninger om borgernes navne og vaccineindkaldelserne,

• personoplysningerne slettes automatisk efter 3 måneder,

• personoplysningerne er krypteret, og krypteringsnøglen er placeret hos en troværdig tredjemand således, at hverken det luxembourgske Amazon Web Services Sarl eller det amerikanske Amazon Web Services Inc. har adgang til personoplysningerne, og

• der er mellem det luxembourgske Amazon Web Services Sarl og franske Doctolib indgået skriftlig aftale om proceduren for behandling af anmodninger fra offentlige myndigheder, der strider imod de europæiske databeskyttelsesregler.

Vores vurdering

Dommens resultat skal i høj grad ses i sammenhæng med Det Europæiske Databeskyttelsesråds (”EDPB”) anbefaling om supplerende foranstaltninger fra december 2020. I anbefalingen er kryptering netop et af de midler, som kan sikre en lovlig overførsel af personoplysninger til usikre tredjelande, hvis krypteringsnøglen ikke er tilgængelig i det usikre tredjeland.

Den franske domstol er den første, som gør brug af EDPB’s anbefaling, og dette er endda inden anbefalingen er endeligt vedtaget. Afgørelsen kan således fremstå nyskabende, men med de korrekte foranstaltninger har det aldrig været ulovligt at gøre brug af amerikanske cloudløsninger. Således skal dommen snarer ses som en bekræftelse af gældende ret end en nyskabelse.

I kan læse mere om EDPBs to nye anbefalinger på Datatilsynets hjemmeside eller i vores tidligere nyhed Kan vi overføre personoplysninger til usikre tredjelande, herunder USA?. Derudover kan I læse den franske domstols egen pressemeddelelse, hvor også dommen kan tilgås.

Vores anbefaling

Det er forsat vores anbefaling, at man i videst muligt omfang undgår at gøre brug af leverandører, som er beliggende i usikre tredjelande.

Hvor der ikke er alternativer, og hvor der er behov for at overføre personoplysninger til usikre tredjelande, skal man forinden sikre sig, at der foreligger et retligt grundlag for overførslen, fx bindende virksomhedsregler (BCR) eller EU-Kommissionens standardkontraktbestemmelser. Herudover skal man foretage en konkret vurdering af den enkelte overførsel og sikre at der er et tilstrækkeligt beskyttelsesniveau, herunder ved implementering af supplerende foranstaltninger, før at en overførsel kan finde sted.