GDPR: Hvor lagrer du personopplysninger?
Før du går gjennom dette innlegget bør du ha på plass kjernen i GDPR-arbeidet ditt: behandlingsprotokollen (oversikten over alle personopplysninger du behandler i bedriften din).
Men hvis du ikke har jobbet med personvern i det hele tatt så langt, start med en grunnleggende innføring i GDPR.
GDPR-krav: hvor lagrer databehandlerne data?
Når du har fylt ut protokollen bør du ha en god oversikt over alle leverandørene og systemene du benytter i virksomheten din.
De som behandler personopplysninger på dine vegne kalles for en databehandler. Det kan være for skylagring, regnskapsføring, nyhetsbrev, kursportal og mye mer.
For alle slike databehandlere må du ha en databehandleravtale, pålagt etter GDPR artikkel 28.
En databehandleravtale er en kontrakt mellom deg og en leverandør, som beskriver hvordan personopplysningene de behandler på dine vegne, skal tas vare på.
Les mer om databehandleravtaler her.
Sjekk først hvor leverandøren din holder til, for det har stor betydning for om du trenger mer enn en databehandleravtale.
En leverandør kan ha hovedkontor i ett land, men lagre personopplysninger i mange. Du må altså få bekreftet hvor dine data er lagret. SiteGround, for eksempel, har hovedkontor i Spania, men lagrer data i Nederland.
Tips: Hvis du drifter din egen nettside, og bruker cPanel, kan du selv sjekke hvor serveren “din” er. Gå da til My Accounts -> Information & Settings -> Server Location. Ta skjermbilde, og lagre i GDPR-mappa.
Hvor personopplysningene du behandler i virksomheten din er lagret har altså stor betydning.
Innenfor eller utenfor EØS-området?
Dette er den viktigste avgrensningen. Landene i EØS-området (EU + EØS-landene) anses for å ha sikre IT-systemer og et særlig godt personvern.
Derfor er det bare databehandleravtale du trenger med leverandører som lagrer personopplysninger her. Det gjelder også en rekke land utenfor EØS, som EU-kommisjonen har godkjent som sikre nok.
I utgangspunktet er det faktisk forbudt å overføre personopplysninger til land utenfor EØS og dette godkjente området! 🤯
Hvis personopplysninger lagres utenfor, eller en databehandler du bruker holder til i et land utenfor, sees det på som en trussel for personvernet.
Og i slike tilfeller må du i tillegg til en databehandleravtale ha en nødvendig garanti (jfr. GDPR artikkel 46). Vi kommer tilbake til det nedenfor.
Avsjekkene nedenfor gjør du i rekkefølgen de står. Dersom svaret på en avsjekk er “ja”, trenger du ikke å sjekke videre nedover. ✅ Er svaret “nei”, må du gå til neste punkt. ➡
Avsjekk 1: Er leverandør og data innenfor EØS?
Det første du må sjekke er om personopplysningene som behandles, forblir innenfor EØS-området (EØS). EØS består per september 2023 av de 27 medlemslandene i EU og EØS-landene Norge, Liechtenstein og Island:
File:Europe countries.svg: Júlio Reis derivative work Kolja21 / CC BY-SA
Hvis leverandør og data er innenfor EØS trenger du kun databehandleravtale. I motsatt fall er det flere avsjekker du må gjøre.
Avsjekk 2: Er det aktuelle landet et forhåndsgodkjent land?
EU-kommisjonen kan, etter en ganske omstendelig prosess, anerkjenne at land utenfor EØS har tilfredsstillende regler og nivåer for sikring av personopplysninger.
Dette er de såkalte “adequacy decisions”, og per september 2023 er følgende land godkjent:
- Andorra
- Argentina
- Canada (kun for kommersielle virksomheter)
- Færøyene
- Guernsey
- Israel
- Isle of Man
- Japan
- Jersey
- New Zealand
- Storbritannia
- Sveits
- Sør-Korea
- Uruguay
- USA* (kun for kommersielle virksomheter sertifisert under Data Privacy Framework)
Hvis leverandør og personopplysninger kun behandles innenfor ett av disse landene trenger du kun databehandleravtale. ✅
USA fikk ny avtale for overføring i juli 2023. Les innlegget om Schrems II som går gjennom dette i dybden.
Overføring av personopplysninger til utlandet - nødvendige garantier
Hvis du har svart nei på spørsmålene over, betyr det at du trenger mer enn bare en databehandleravtale.
Du trenger også noe som kalles for en "nødvendig garanti", jfr. GDPR artikkel 46), for eksempel EUs standardkontrakter eller bindende virksomhetsregler.
En slik garanti må gis i tilfeller personopplysninger overføres til et land som ikke har like godt personvern som EØS.
Den mest brukte og anbefalte nødvendige garantien er EUs standardkontrakter (også kalt standard personvernbestemmelser, på engelsk Standard Contractual Clauses (SCC) eller Model Contract Clauses).
Les mer om disse på Datatilsynets eller EU-kommisjonens sider. Jeg anbefaler også at du gjennomfører ekstra risikovurderinger og følger anbefalingene som beskrevet i innlegget mitt om Schrems II-dommen.
PS: Det finnes andre muligheter, men det er for spesielle unntak som sjelden gjelder eller er relevant for små bedrifter.
Når du er ferdig med denne delen av GDPR-arbeidet kan du gå videre til innlegget om hvordan du innhenter databehandleravtaler.