Om Tjenester Butikk Kontakt Blogg Småbedriftspakka Logg inn

GDPR: Hvor lagrer du personopplysninger?

gdpr Jun 26, 2018

Hvor lagres personopplysninger i bedriften din?

Først og fremst bør du være i gang med kjernen i GDPR-arbeidet ditt: behandlingsprotokollen; en oversikt over personopplysninger du behandler i bedriften din. 

Hvis du ikke har begynt med denne ennå, gå til det første innlegget (og få en gratis mal for å fylle ut protokollen), eller start på begynnelsen: Hva er GDPR (for små bedrifter)?

GDPR-krav: hvor lagrer databehandlerne data?

Når du har fylt ut protokollen bør du ha en god oversikt over alle leverandørene og systemene du benytter i virksomheten din. De som behandler personopplysninger på dine vegne kalles for en databehandler. Det kan være for skylagring, regnskapsføring, nyhetsbrev, kursportal og mye mer. 

For alle slike databehandlere må du ha en databehandleravtale, pålagt etter GDPR artikkel 28. En databehandleravtale er en kontrakt mellom deg og en leverandør, som beskriver hvordan personopplysningene de behandler på dine vegne, skal tas vare på.

Les mer om databehandleravtaler her.

Sjekk først hvor leverandøren din holder til, for det har stor betydning for om du trenger mer enn en databehandleravtale. En leverandør kan ha hovedkontor i ett land, men lagre personopplysninger i mange. Du må altså få bekreftet hvor dine data er lagret. SiteGround, for eksempel, har hovedkontor i Spania, men lagrer data i Nederland.

Tips: Hvis du drifter din egen nettside, og bruker cPanel, kan du selv sjekke hvor serveren “din” er. Gå da til My Accounts -> Information & Settings -> Server Location. Ta skjermbilde, og lagre i GDPR-mappa.

Hvor personopplysningene du behandler i virksomheten din er lagret har altså stor betydning.

Innenfor eller utenfor EØS-området?

Dette er den viktigste avgrensningen. Landene i EØS-området (EU + EØS-landene) anses for å ha sikre IT-systemer og et særlig godt personvern. Derfor er det bare databehandleravtale du trenger med leverandører som lagrer personopplysninger her. Det gjelder også en rekke land utenfor EØS, som EU-kommisjonen har godkjent som sikre nok.

Avsjekkene nedenfor gjør du i rekkefølgen de står. Dersom svaret på en avsjekk er “ja”, trenger du ikke å sjekke videre nedover. Er svaret “nei”, må du gå til neste punkt.

Avsjekk 1: Er leverandør og data innenfor EØS?

Det første du må sjekke er om personopplysningene som behandles, forblir innenfor EØS-området (EØS). EØS består per juni 2020 av de 27 medlemslandene i EU og EØS-landene Norge, Liechtenstein og Island.

Hvis leverandør og data er innenfor EØS trenger du kun databehandleravtale. I motsatt fall er det flere avsjekker du må gjøre.

Avsjekk 2: Er det aktuelle landet et forhåndsgodkjent land?

EU-kommisjonen kan, etter en ganske omstendelig prosess, anerkjenne at land utenfor EØS har tilfredsstillende regler og nivåer for sikring av personopplysninger. Dette er de såkalte “adequacy decisions”, og per mai 2020 er følgende land godkjent:

  1. Andorra
  2. Argentina
  3. Canada
  4. Færøyene
  5. Guernsey
  6. Israel
  7. Isle of Man
  8. Japan
  9. Jersey
  10. New Zealand
  11. Sveits
  12. Uruguay

Hvis leverandør og persondata er innenfor ett av disse landene trenger du kun databehandleravtale. I motsatt fall går du til neste avsjekk.

Avsjekk 3: Er landet USA?

Viktig oppdatering 16. juli 2020: Privacy Shield-avtalen mellom USA og EU/EØS er opphevet med umiddelbar virkning. Les mer på Datatilsynets nettsider og følg med på utviklingen fremover (inkludert oppdateringer her - meld deg på nyhetsbrevet mitt for løpende oppdateringer).

Hvis du i dag støtter deg på Privacy Shield for overføring til amerikanske databehandleren, må du snarest finne et annet overføringsgrunnlag (se neste avsnitt).

Overføring av personopplysninger til utlandet - nødvendige garantier

Hvis du har svart nei på alle spørsmålene hittil, betyr det at du trenger mer enn bare en databehandleravtale. Du trenger også noe som kalles for en "nødvendig garanti". En slik garanti må gis i tilfeller personopplysninger overføres til et land som ikke har like godt personvern som EU/EØS.

Inntil 16. juli 2020 var Privacy Shield en slik garanti, der du kunne overføre personopplysninger til USA hvis databehandleren var Privacy Shield-sertifisert.

Den mest brukte og anbefalte nødvendige garantien er EUs standardkontrakter (også kalt standard personvernbestemmelser, på engelsk Standard Contractual Clauses (SCC) eller Model Contract Clauses). Les mer om disse på Datatilsynets eller EU-kommisjonens sider.

PS: Det finnes andre muligheter, men det er for spesielle unntak som sjelden gjelder eller er relevant for små bedrifter.

Når du er ferdig med denne delen av GDPR-arbeidet kan du gå videre til innlegget Innhente databehandleravtaler.

GDPR sjekkliste ✅

Motta sjekklisten som PDF og (kun) to e-poster til med konkrete tips til arbeidet (meld deg av når som helst).

 

Og selv om e-postene også nevner hvordan jeg kan hjelpe deg, blir du ikke bombardert med salgspitcher (som ingen kan fordra 🤢). For å ivareta markedsføringsloven trenger jeg samtykket ditt, derfor må du krysse av i boksen 👇. Les mer om personvernet ditt her.

Close

Her deler jeg nyttige tips for å drive en lønnsom og profesjonell bedrift, og generelle funderinger over livet som småbedriftseier.

Nyhetsbrev sendes ut 1-2 ganger i måneden og inneholder noen ganger informasjon om produkter og tjenester. Meld deg av når som helst.

Personvern