Redaktionel vurdering
Dommen gjorde leverandørvalg, dataoverførsler og vurdering af tredjelandsadgang til en vedvarende governance-opgave.
Hvad er sket?
Den 16. juli 2020 afgjorde EU-Domstolen den såkaldte Schrems II-sag. Domstolen erklærede Privacy Shield-ordningen ugyldig som grundlag for overførsel af personoplysninger fra EU til USA.
Standardkontraktbestemmelser kunne fortsat bruges, men kun hvis beskyttelsesniveauet i praksis kunne opretholdes. Dermed blev juridiske standardvilkår alene utilstrækkelige som svar på komplekse cloud- og myndighedsadgangsrisici.
Hvorfor er det relevant for digital suverænitet?
Dommen flyttede debatten fra formaliteter til faktisk kontrol. Organisationer skal kunne forklare, hvilke data der overføres, hvilke parter der kan få adgang, og hvilke tekniske eller organisatoriske supplerende foranstaltninger der reducerer risikoen.
Det er digital suverænitet i praksis: ikke et absolut forbud mod bestemte lande, men en pligt til at forstå afhængigheder og handlefrihed.
Hvad bør beslutningstagere holde øje med?
- Om leverandører kan dokumentere underleverandører, supportadgang og dataflows.
- Om kryptering, nøglekontrol og pseudonymisering faktisk reducerer adgangsrisiko.
- Om transfer impact assessments opdateres, når lovgivning, leverandører eller dataflows ændrer sig.
Kilder
- Court of Justice of the European Union: Press release 91/20
- EDPB: Recommendations on supplementary measures
Dette er generel information og ikke juridisk rådgivning.