GDPR · Schrems II · CLOUD Act
Hvis I bruger US-baserede LLM-providers (OpenAI, Anthropic, Google) i jeres HR-tech AI-pipeline, har I konkret juridisk eksponering. Her er hvad det betyder + hvordan SCCs Module 2 + EU-only inference adresserer det.
Kilder: CJEU C-311/18 (16. juli 2020), EDPB Recommendation 01/2020 (10. nov 2020), CLOUD Act P.L. 115-141 (23. mar 2018). Vi er teknisk dokumentationsleverandør, ikke advokatfirma — henvend jer til specialiseret IT-/AI-advokatfirma for juridisk rådgivning.
CJEU dom C-311/18 (16. juli 2020) underkendte Privacy Shield (EU-US dataaftalen). Konsekvens: data-transfers EU→US kræver enten Standard Contractual Clauses (SCCs) med supplementary measures, eller exceptions per GDPR Article 49. EDPB Recommendation 01/2020 (10. november 2020) specificerer assessment + supplementary measures-pligter.
US Clarifying Lawful Overseas Use of Data Act (2018, P.L. 115-141). Giver US-myndigheder ret til at kræve data fra US-baserede providers — uanset hvor data fysisk lagres. CJEU har gentagne gange udtrykt bekymring om CLOUD Acts inkompatibilitet med GDPR-niveau beskyttelse.
Ja — alle tre er US-baserede providers omfattet af CLOUD Act. Hvis I sender persondata til deres API'er, sker EU→US transfer. SCCs Module 2 (controller-to-processor) er minimum-krav, suppleret af encryption-in-transit + encryption-at-rest. OpenAI/Anthropic/Google har egne Schrems II-statements og DPAs der dækker SCCs Module 2.
EDPB siger: ikke automatisk. Du skal lave en Transfer Impact Assessment (TIA) per use case og dokumentere supplementary measures (encryption, pseudonymisering, retention-limits, audit-rights). EDPB Recommendation 01/2020 har 6-trins-flow. Vores Module 1 + Module 2 inkluderer TIA-skabelon + SCC-cite-pakke.
For særligt følsomme HR-data (CV'er, performance-evaluering): Mistral AI (Paris/Frankrig) hostet via OVHcloud (Frankrig) eller EU-only deployments af Mistral. Andre options: AWS Bedrock i Frankfurt med europa-only routing, Azure OpenAI EU-regions med data-residency-garanti. Disse undgår CLOUD Act-eksponering. PowerQuant Module 3 Enterprise inkluderer EU-only inference-konfiguration som standard.
Module 1 dokumenterer jeres data-flow inkl. hvor data passerer, hvilke sub-processors involveres, og hvilke SCCs anvendes. Module 2 inkluderer SCC-cite-pakke + Anthropic/OpenAI Schrems II-statement-referencer + TIA-skabelon. Module 3 (post-PMF) konfigurerer EU-only inference. Vi citerer EDPB-vejledning verbatim og henviser til CJEU-dom-tekster.
Module 1 (10.999 kr) inkluderer Subprocessor_DataFlow-worksheet med EU→US transfer-routing. Module 2 (24.999 kr) inkluderer SCC-cite-pakke + TIA-skabelon + sub-processor Schrems II-statement referencer. Begge er Ed25519-signeret, kilde-citeret per påstand.
Se også sub-processor-liste for komplet data-flow, system-overview for geographic infrastructure, og Article 4 AI literacy for relateret obligationer.