Jeres databehandleraftale med Google og Microsoft er formodentlig ulovlige!


For et par uger siden underskrev præsident Biden en såkaldt ”Executive Order”, hvilket af mange blev udråbt som et skridt i retning af, at vi igen frit vil kunne overføre personoplysninger til de mange amerikanske tech-virksomheder. Jeg blev også dengang udfrittet for min vurdering af udviklingen, men nu hvor det indledende støv har lagt sig, står det klart; Vi har fortsat rigtigt mange af de samme problematikker som tidligere – og vi kommer næppe i mål med en EU-godkendt aftale indenfor de rammer, der på nuværende tidspunkt er opstillet i Bidens dekret.

Problematikkerne er mange, men frem for at bruge spalteplads på at redegøre for den forfatningsretlige forskel på en egentlig lov og et præsidentielt dekret, eller at koncentrere sig om det forhold, at personoplysningerne fortsat vil indgå i amerikanske efterretningstjenesters overvågningsprogrammer, såsom PRISM eller Upstream – det har andre gjort så rigeligt – så vil vi i stedet dykke ned i en anden og lidt mere irriterende problemstilling: Nemlig det forhold, at de databehandleraftaler, som de store tech-virksomheder såsom Google eller Microsoft, leverer, giver dem lov til at viderebehandle personoplysninger til egne formål.

Det prøver vi lige igen. Det handler altså ikke om overførslerne til USA. Nej – det handler helt enkelt om, at Google for Education eller Microsoft 365-produkterne simpelthen benytter personoplysningerne til at videreudvikle deres egne produkter og services. Men hvorfor er det nu så vigtigt, spørger du måske? Det er vigtigt af to ret grundlæggende årsager.

  1. Du er som datatansvarlig, hvis tech-virksomhederne skal have lov at anvende dine personoplysninger til egne formål, forpligtet til at identificere et sted i lovgivningen (et såkaldt hjemmelsgrundlag), der gør det muligt for dig som virksomhed at videregive personoplysningerne til fx Google eller Microsoft.
  2. Det kan ikke fikses ved en omlægning af den amerikanske lovgivning – for det har grundlæggende ikke noget som helst med den amerikanske lovgivning at gøre. Det hele er så og sige baseret på EU-lovgivningen.

Alle udfordringerne med at opnå en tilstrækkelighedsvurdering fra EU til USA til en side, så vil det i starten omtalte dekret med andre ord ikke fikse Helsingør Kommunes problem med Chromebooks. Og der er også andre problemer såsom kortlægning af, hvor personoplysningerne faktisk er (”find din slutbehandler”). Helsingør kommune syntes dog at have flere problemer endnu, før en videregivelse kan finde sted, herunder det forhold, at den nuværende risikovurdering ikke syntes at være baseret på skyggen af et reelt trusselsbillede, hvorfor termerne “risikovurdering” og “gætværk” hurtigt kan blive blandet sammen.

De mulige videregivelsesgrundlag for kommunen og andre dataansvarlige er beskrevet i databeskyttelsesforordningens artikel 6 og 9. Jeg skal med det samme afsløre for jer, at det er nedslående læsning, hvis man virkelig ønsker at give Google lov til at behandle eksempelvis følsomme personoplysninger omkring børns indlæringsvanskeligheder. Men alene det at finde et hjemmelsgrundlag, der tillader Microsoft at; ” […] oprette aggregerede statistiske, ikke-Personoplysninger ud fra data, der indeholder pseudonymiserede id’er (f.eks. brugslogfiler, der indeholder unikke, pseudonymiserede id’er)” er faktisk temmelig vanskeligt. Citatet er taget fra Microsofts databehandleraftale, s. 6, fra september 2022.

Ud over det helt overdrevent høje lixtal i databehandleraftalen fra Microsoft, så synes der også, helt enkelt, at være rod i begreberne. Påstanden om, at der behandles ikke-personoplysninger ud fra pseudonymiserede id’er synes selvmodsigende, idet selve id’erne er personoplysninger, idet id’erne alene er pseudonymiserede, men ikke anonymiserede. Derudover bør det bemærkes, at Microsoft ikke er konkrete i deres afgrænsning af, hvad de behandler: helt konkret (pun intented) hører ord som ”f.eks.” ikke hjemme i en formålsafgrænsning af, hvad der behandles.

Hvis vi forfølger tanken lidt og dykker ned i cloudvejledningen fra Datatilsynet, så fremgår følgende af vejledningens eksempel 3: ”[…] Bemærk endvidere, at en databehandlers behandling af personoplysninger, som vedkommende har fået overladt af den dataansvarlige, til egne formål, betragtes som en videregivelse af personoplysninger fra dataansvarlig til dataansvarlig. Der skal derfor identificeres et retligt grundlag for videregivelsen, ligesom den oprindelige dataansvarlige skal vurdere, om videregivelsen er uforenelig med det oprindelige formål med behandlingen af oplysningerne.”

Dertil kommer formuleringen: ”Datatilsynet bemærker endvidere, at der i tilfælde, hvor leverandøren generelt forbeholder sig retten til at behandle de overladte personoplysninger til egne formål, vil være tale om videregivelse af alle de overladte personoplysninger – og ikke alene de oplysninger, som leverandøren reelt beslutter at behandle til sine egne formål. Det skyldes, at leverandøren ved et sådant generelt forbehold reelt har kontrol over alle oplysningerne og træffer beslutning om, hvilke oplysninger leverandøren ønsker at behandle. Leverandøren skal derfor anses som den dataansvarlige for alle oplysningerne, herunder også de oplysninger, som leverandøren fravælger at behandle til egne formål.” (Datatilsynet, Cloudvejledningen, 2022, s. 14).

Vurdering og næste skridt:

I rollen som den dataansvarlig er virksomheden altså ansvarlig for at identificere et hjemmelgrundlag for videregivelsen af personoplysningerne til tech-giganterne.

Så selv hvis (og det må vurderes kun i mindre grad sandsynligt), at præsident Bidens dekret overlever turen igennem EU-maskineriet – og den efterfølgende nærmest obligatoriske retssag fra Max Schrems og folkene bag NOYB, så løser det altså ikke problematikkerne omkring anvendelse af tech-giganternes services.

Det spørgsmål, man som dataansvarlig bør stille sig selv, er derfor ikke blot, om Bidens dekret løser alle problematikkerne ved selve overførslerne til USA, men tilmed spørgsmålet om hvorvidt man som dataansvarlig har et videregivelsesgrundlag, som kan bære det formål tech-giganterne ønsker at viderebehandle personoplysningerne til. Mon ikke Datatilsynet fremadrettet vil stille spørgsmål til lige præcis videregivelsesgrundlaget i en situation, hvor tech-giganterne bruger personoplysningerne til egne formål? Det tør jeg i hvert fald godt vurdere som meget sandsynligt.

 

Mere om