PostNord Strålfors og Schrems II sagen

Cloud computing-16-9.jpg

Opdatering den 6. maj 2021

Den 6. maj 2021 har Microsoft opdateret deres blog med oplysninger omkring deres fremtidige planer for dataoverførsler. Microsoft har også udgivet en FAQ om samme emne.

Status maj 2021

Baggrund

EU Domstolens dom i Schrems II sagen, d. 16. juli 2020, (sag C-311/18) medfører at overførsel af persondata til USA via overførselsmekanismen kaldet “US-EU Privacy Shield” er ugyldig.

EU Domstolen fastslår derimod, at EU-Kommissionens standardkontrakter fortsat er gyldige.

Det Europæiske Databeskyttelsesråd vedtog i november 2020 ”Anbefalinger om europæiske essentielle garantier” og derudover blev ”Anbefalinger om iværksættelse af supplerende foranstaltninger” sendt i offentlig høring. Høringsperioden blev afsluttet i ultimo 2020, men sidstnævnte dokument er endnu ikke vedtaget og deadline for vedtagelsen er endnu ikke offentliggjort af hverken Det Europæiske Databeskyttelsesråd eller det danske datatilsyn.

Schrems II sagen er relevant og vigtig for alle europæiske borgere, virksomheder og offentlige myndigheder, som anvender cloud-tjenester udbudt af amerikanske virksomheder.

Dette er uanset om de ”blot” bruger gængse cloud-baserede office programmer, online e-mail tjenester, eller om organisationen er en databehandler (som PostNord Strålfors) eller dataansvarlig (som de fleste af vores kunder). PostNord Strålfors benytter cloud-tjenester i forbindelse med Connect platformen.

PostNord Strålfors anvender Microsoft Azure (cloud-tjeneste) til at hoste vores løsning “Connect”. Vi bruger udelukkende datacentre baseret indenfor EU/EØS og som er ISO27001 og/eller ISO27701 certificeret.

Microsoft Azure’s standardbestemmelser for erhvervskunder tillader Microsoft at tilbyde fjernsupport, f.eks. teknisk support, fra tredjelande. I givet fald, anvender Microsoft de førnævnte standardkontrakter, som Schrems II sagen afgjorte som fortsat gyldige.

PostNord Strålfors monitorerer den uafhængige revisors tilsyn med vores underleverandør Microsoft Corporation og vi vil fortsat overvåge deres tiltag ifm. Schrems II sagen.

Ligesom alle andre europæiske organisationer, afventer vi yderligere tiltag fra det Europæiske Databeskyttelsesråd samt Datatilsynet, herunder udgivelsen af de endelige Anbefalinger om iværksættelse af supplerende foranstaltninger.

Såfremt vores kunder har spørgsmål omkring vores brug af cloud-tjenester eller om hvordan vi overholder Schrems II sagen, er I selvfølgelig meget velkomne til at kontakte PostNord Strålfors.

Yderligere læsning

Datatilsynet har beskrevet Schrems II sagen her, og kan kontaktes såfremt der er spørgsmål omkring Schrems II eller databeskyttelse.

EU Domstolens dom i Schrems II sagen kan læses her (dansk).

Udkastet fra det Europæiske Databeskyttelsesråds om ”Anbefalinger om iværksættelse af supplerende foranstaltninger” (”Recommendations 01/2020”) kan læses her, sammen med høringssvarene.

Microsoft Online Services tillæg om databeskyttelse (opdateret efter Schrems II sagen) kan læses her.

Kontakter hos PostNord Strålfors

Salg - tlf.: 88 33 00 35 - e-mail: salg@stralfors.dk
Support  - tlf.: 88 33 00 35 - e-mail: info@stralfors.dk
DPO - tlf.: 33 86 86 86 - e-mail: dataprotection@stralfors.dk