GDPR for små bedrifter: Steg 2 (geografisk avsjekk)

Denne artikkelserien om GDPR er skrevet spesielt for deg som driver en liten bedrift med én eller få ansatte. Målet er at du skal kunne senke skuldrene, få konkret hjelp til å komme i gang med GDPR-arbeidet, og vite hva du bør prioritere å gjøre fremover.

Først og fremst bør du være i gang med kjernen i GDPR-arbeidet ditt: behandlingsprotokollen; en oversikt over personopplysninger du behandler i bedriften din. Hvis du ikke har begynt med denne ennå, gå til det første innlegget (og få en gratis mal for å fylle ut protokollen).

GDPR-krav: hvor lagrer databehandlerne data?

Når du har fylt ut protokollen bør du ha en god oversikt over alle leverandørene og systemene du benytter i virksomheten din. De som behandler personopplysninger på dine vegne kalles for en databehandler. Det kan være for skylagring, regnskapsføring, nyhetsbrev, kursportal og mye mer. 

For alle slike databehandlere må du ha en databehandleravtale, pålagt etter GDPR artikkel 28. Det er en kontrakt mellom deg og databehandleren som beskriver hvordan personopplysningene de behandler på dine vegne, skal tas vare på.

Les mer om databehandleravtaler i det tredje innlegget i denne serien.

Sjekk først hvor leverandøren din holder til, for det har stor betydning for om du trenger mer enn en databehandleravtale. En leverandør kan ha hovedkontor i ett land, men lagre personopplysninger i mange. Du må altså få bekreftet hvor dine data er lagret. SiteGround, for eksempel, har hovedkontor i Spania, men lagrer data i Nederland.

Tips: Hvis du drifter din egen nettside, og bruker cPanel, kan du selv sjekke hvor serveren “din” er. Gå da til My Accounts -> Information & Settings -> Server Location. Ta skjermbilde, og lagre i GDPR-mappa.

Hvor personopplysningene du behandler i virksomheten din er lagret har altså stor betydning.

Innenfor eller utenfor EØS-området?

Dette er den viktigste avgrensningen. Landene i EØS-området (EU + EØS-landene) anses for å ha sikre IT-systemer og et særlig godt personvern. Derfor er det bare databehandleravtale du trenger med leverandører som lagrer personopplysninger her. Det gjelder også en rekke land utenfor EØS, som EU-kommisjonen har godkjent som sikre nok.

Avsjekkene nedenfor gjør du i rekkefølgen de står. Dersom svaret på en avsjekk er “ja”, trenger du ikke å sjekke videre nedover. Er svaret “nei”, må du gå til neste punkt.

Hvis du ikke står på GDPR e-postlisten min og dermed ikke har mottatt den nyttige veiviseren jeg har laget for avsjekken, kan du melde deg på listen nå. Svar på den første e-posten du får fra meg, så skal jeg sende deg lenke til den. :)

Avsjekk 1: Er leverandør og data innenfor EØS?

Det første du må sjekke er om personopplysningene som behandles, forblir innenfor EØS-området (EØS). EØS består per oktober 2019 av de 28 medlemslandene i EU og EØS-landene Norge, Liechtenstein og Island.

Hvis leverandør og data er innenfor EØS trenger du kun databehandleravtale. I motsatt fall er det flere avsjekker du må gjøre.

Avsjekk 2: Er det aktuelle landet et forhåndsgodkjent land?

EU-kommisjonen kan, etter en ganske omstendelig prosess, anerkjenne at land utenfor EØS har tilfredsstillende regler og nivåer for sikring av personopplysninger. Dette er de såkalte “adequacy decisions”, og per oktober 2019 er følgende land godkjent:

1. Andorra
2. Argentina
3. Canada
4. Færøyene
5. Guernsey
6. Israel
7. Isle of Man
8. Japan
9. Jersey
10. New Zealand
11. Sveits
12. Uruguay

Hvis leverandør og data er innenfor ett av disse landene trenger du kun databehandleravtale. I motsatt fall går du til neste avsjekk.

Avsjekk 3: Er landet USA?

USA er faktisk også et forhåndsgodkjent land, men der gjelder særlige betingelser i tillegg. Databehandlere i USA må også være sertifisert under Privacy Shield (når det gjelder forhåndsgodkjente land). Det er en egen sertifiseringmåte som skal sikre at personopplysninger ivaretas på en tilstrekkelig måte. Du må altså både ha en databehandleravtale, og sjekke at leverandøren er sertifisert. Det kan du sjekke på denne siden: Privacy Shield.

NB! For å kunne benytte leverandører under Privacy Shield gjelder en rekke kriterier, som jeg vil komme tilbake til i et annet innlegg. I mellomtiden kan du lese mer på Datatilsynets side om overføring til utlandet.

Tips: Husk å lagre lenken til Privacy Shield-sertifiseringen, sammen med et skjermbilde, i GDPR-mappen din. Dette må du vise frem i tilfelle tilsynskontroll.

Dersom landet er USA, men leverandøren mangler Privacy Shield-sertifisering, er det fortsatt mulig å bruke de, men da må man benytte andre måter for at overføring av personopplysninger skal være lovlig. Se neste avsnitt.

Hva om du har svart “nei” på alt?

Dersom landet heller ikke er USA (eller er USA, men leverandøren mangler Privacy Shield-sertifisering), er det fortsatt muligheter for å benytte leverandøren. Du må fortsatt skaffe til veie en databehandleravtale (og husk at du bør sjekke at avtalen er i samsvar med GDPR). Videre må du sørge for at en av de andre mulige måtene kan brukes, f.eks. bindende konsernregler eller EUs standardkontrakter (model clauses). Det kan du lese mer om på EU-kommisjonens sider.

Det er også andre muligheter, men alt dette er for omfattende å gå nærmere inn på her. 

Og, til slutt, kan du gå videre til tredje innlegg i denne serien: GDPR for små bedrifter steg 3 - databehandleravtaler

Toppbilde av MichaelGaida, Pixabay