Høringssvar: Videregivelse af personoplysninger
KL, som er interesseorganisation for alle Danmarks 98 kommuner, takker for muligheden for at kommentere på Kommissionens udkast til nye standardkontraktbestemmelser til brug for tredjelandsoverførsler.
Vedr. Standardkontraktbestemmelser om videregivelse af personoplysninger til lande uden for EU
KL, som er interesseorganisation for alle Danmarks 98 kommuner, takker for muligheden for at kommentere på Kommissionens udkast til nye standardkontraktbestemmelser til brug for tredjelandsoverførsler.
KL finder det positivt, at standardkontraktbestemmelserne er blevet moderniseret og oplever, at det medvirker til at gøre bestemmelserne lettere at læse, forstå og anvende i praksis.
Opbygningen af standardkontraktbestemmelserne
Standardkontraktbestemmelserne er bygget op af dels generelle bestemmelser dels moduler, der bør anvendes afhængigt af, hvilken overførselssituation, der er tale om, henholdsvis dataansvarlig til dataansvarlig (modul 1), dataansvarlig til databehandler (modul 2), databehandler til databehandler (modul 3) og databehandler til dataansvarlig (modul 4).
KL finder, at der er behov for, at Kommissionen i gennemførelsesafgørelsen nærmere redegør for, hvornår man skal anvende de forskellige moduler. Kommunerne entrerer som dataansvarlige ofte med en leverandør/databehandler, der via sin underdatabehandler overfører personoplysninger til tredjelande. I disse situationer er det uklart, om det er modul 2 eller modul 3, der bør anvendes.
KL vil også foreslå, at det i gennemførelsesafgørelsen konkret beskrives, hvordan standardkontraktsbestemmelserne anvendes; Hvor angiver man, hvilken overførselssituation, der konkret er tale om (modul 1, 2, 3 eller 4), og forventes man at slette de modulbestemmelser, som ikke er relevante i den konkrete situation?
Sammenhæng til databehandleraftaler
Indholdet af standardkontraktbestemmelserne minder meget om kravene til indholdet i en databehandleraftale, jf. databeskyttelsesforordningens artikel 28, stk. 3 og 4. Og det fremgår af forordningens artikel 28, stk. 7, at "Kommissionen kan fastsætte standardkontraktbestemmelser i de tilfælde, der er omhandlet i denne artikels stk. 3 og 4,...". KL anbefaler, at Kommissionen i gennemførelsesafgørelsen nærmere vejleder om samspillet mellem databehandleraftalen og standardkontraktbestemmelserne. Vil man kunne nøjes med at indgå en aftale via standardkontraktbestemmelserne og undlade
databehandleraftalen? Og hvis man har en databehandleraftale med sin leverandør allerede, hvor er det så, at standardkontraktsbestemmelserne tilføjer noget yderligere? Er man forpligtet til under alle omstændigheder at indgå en aftale med udgangspunkt i standardkontraktbestemmelserne for at tilvejebringe et lovligt overførselsgrundlag, selvom databehandleraftalen indeholder de samme oplysninger?
KL efterlyser i samme forbindelse transparens i forhold til, om man ved at anvende standardkontraktbestemmelserne som aftalegrundlag med sin leverandør stiller skærpede krav. Fx står der i paragraf 1, modul 2, 1.6, at parterne i forbindelse med implementering af passende behandlingssikkerhed, "... in particular [shall] consider encryption during transmission and anonymisation or pseudonymisation where this does not prevent fulfilling the purpose of processing." I artikel 32 om behandlingssikkerhed er pseudonymisering og kryptering blot nævnt som eksempler på sikkerhedsforanstaltninger, der kan vælges blandt andre muligheder. Og anonymisering er ikke nævnt. Derfor kan ordlyden om behandlingssikkerhed i standardkontraktbestemmelserne virke som en skærpelse.
Krav om vurdering af tredjelandenes lovgivning
Det fremgår af standardkontraktbestemmelsernes paragraf 2, at man som part i aftalen er forpligtet til at vurdere og garantere, at lovgivningen i det tredjeland, som der ønskes overført data til, ikke forhindrer, at dataimportøren, typisk kommunernes databehandler, kan opfylde sine forpligtelser efter aftalen indgået via bestemmelserne. Herunder skal man forholde sig til, hvorvidt lovgivningen i tredjelandet indeholder krav om videregivelse af data eller foranstaltninger, der giver offentlige myndigheder i tredjelandet adgang til data.
KL finder ikke, at det er holdbart, at alle, der skal eksportere og importere data til et tredjeland, skal foretage vurdering af landets lovgivning. Det er en stor og kompleks opgave, som rigtigt mange vil skulle udføre parallelt. Det er ikke en hensigtsmæssig anvendelse af alle kommuners/dataeksportørers resurser. KL vil derfor kraftigt opfordre til, at opgaven med vurdering af forholdene i alle relevante tredjelande løses centralt i EU-regi. Og ligeledes vurderingen af, hvilke supplerende foranstaltninger der eventuelt skal aftales mellem parterne som følge af de enkelte tredjelandes lovgivning.
I databeskyttelsesforordningens artikel 45 er der givet mulighed for, at Kommissionen kan godkende tredjelande til tredjelandsoverførsler. KL vil anbefale Kommissionen at se på, om denne ordning kan udvides til generelt at hjælpe med at vurdere lovgivningen i tredjelande. Til hjælp for alle dataeksportører og dataimportører i EU.
Høringsmateriale på eget sprog
Som et praktisk forslag vil KL opfordre til, at materiale, som Kommissionen bringer i høring, stilles til rådighed på medlemslandenes eget sprog. Det vil bidrage til forståelsen og dermed kvalificere høringssvarene.