Cloudleverandørernes udlevering af personoplysninger til amerikanske myndigheder
Oversat titel
Disclosure of personal data by cloud providers to US authorities
Forfattere
Schneider, Julie Dahl ; Winther, Thilde
Semester
4. semester
Uddannelse
Udgivelsesår
2024
Afleveret
2024-05-14
Resumé
Databeskyttelsesforordningen (GDPR) har siden 2018 sat rammen for behandling og overførsel af personoplysninger i EU. Specialet belyser de databeskyttelsesretlige udfordringer, der opstår, når amerikanske cloudleverandører kan blive pålagt at udlevere personoplysninger til amerikanske myndigheder efter FISA § 702 og CLOUD Act. Det undersøger: 1) hvilke minimumskrav en databehandleraftale skal opfylde for at være i overensstemmelse med GDPR, 2) hvordan den dataansvarlige sikrer lovlig behandling ved brug af cloudleverandører med underdatabehandlere i USA, og 3) hvordan udlevering som følge af CLOUD Act-anmodninger kan forebygges via instrukser. Metodisk bygger specialet på en retsdogmatisk analyse af GDPR (særligt art. 28 og kapitel V), EU-Domstolens praksis, Datatilsynets afgørelser samt vejledninger fra EDPB og Datatilsynet. Specialet konkluderer, at databehandleraftalen som minimum skal opfylde art. 28, stk. 3, litra a–h, og at bestemmelser om instruks, behandlingssikkerhed, brug af underdatabehandlere og tilsyn er centrale for at begrænse adgang for myndigheder. Ved brug af underdatabehandlere i USA kræves et gyldigt overførselsgrundlag efter kapitel V; standardkontraktbestemmelser kan anvendes i fravær af en tilstrækkelighedsafgørelse, men forudsætter supplerende foranstaltninger på grund af FISA § 702 og E.O. 12333—fx effektiv kryptering, så klartekst ikke overføres. Alternativt kan dataansvarlige anvende databehandlere certificeret under Data Privacy Framework eller forbyde brug af underdatabehandlere i tredjelande i databehandleraftalen. For at modvirke udlevering efter CLOUD Act kan instrukser i databehandleraftalen præciseres, så udlevering kun må ske, når den er påkrævet efter EU- eller national ret; formuleringer som “as necessary” eller “permitted” bør undgås. Datatilsynets praksis understreger desuden, at uklarheder i aftaler bør undgås gennem klare, ensartede bestemmelser.
Since 2018, the GDPR has set the framework for processing and transferring personal data in the EU. This thesis examines the data protection challenges that arise when US cloud providers may be compelled to disclose personal data to US authorities under FISA § 702 and the CLOUD Act. It addresses: (1) the minimum requirements a data processing agreement must meet to comply with the GDPR, (2) how controllers can ensure lawful processing when using cloud providers with sub-processors in the US, and (3) how to prevent disclosures prompted by CLOUD Act requests through contractual instructions. Methodologically, the thesis applies a doctrinal legal analysis of the GDPR (notably Article 28 and Chapter V), case law from the Court of Justice of the EU, decisions by the Danish Data Protection Agency, and guidance from the EDPB and the Danish DPA. The thesis concludes that data processing agreements must at least meet Article 28(3)(a)–(h), with provisions on instructions, security, sub-processor use, and oversight being crucial to limiting government access. Where US sub-processors are used, a valid transfer mechanism under Chapter V is required; standard contractual clauses may be used in the absence of an adequacy decision but require supplementary measures due to FISA § 702 and E.O. 12333—for example, effective encryption so no clear text is transferred. Alternatively, controllers may use processors certified under the Data Privacy Framework or prohibit third-country sub-processors in the agreement. To mitigate CLOUD Act disclosures, contractual instructions can be tightened so disclosure is permitted only when required under EU or Member State law; permissive wording such as “as necessary” or “permitted” should be avoided. Danish DPA practice further emphasizes avoiding ambiguities through clear, consistent contractual terms.
[Dette resumé er genereret med hjælp fra AI direkte fra projektet (PDF)]
Emneord