GDPR for små bedrifter: Steg 2 (geografisk avsjekk)

Denne artikkelserien om GDPR er skrevet spesielt for deg som driver en liten bedrift med én eller få ansatte. Målet er at du skal kunne senke skuldrene, få konkret hjelp til å komme i gang med GDPR-arbeidet, og vite hva du bør prioritere å gjøre fremover. Les del 1 her, og del 3 her.

Om kort tid får vi ny personopplysningslov (hva skjer om du ikke er klar?), og jeg håper at du i alle fall er i gang med kjernen i GDPR-arbeidet ditt: behandlingsprotokollen; en oversikt over personopplysninger du behandler i bedriften din. Hvis du ikke har begynt med dette ennå, gå til det første innlegget i denne serien, og starte der.

Behandlingsprotokollen er utgangspunktet for mye av det øvrige GDPR-arbeidet ditt og jeg har skreddersydd en mal for små bedrifter. Ta kontakt for å få tilsendt denne helt uforpliktende. Du kan også melde deg på nyhetsbrevet mitt. 

PS: Å motta nyhetsbrev fra Bedre Bedrift skal være ekstra stas! Jeg deler derfor innhold der som jeg ikke deler andre plasser, f.eks. veiviseren til dagens innlegg (for avsjekkene nedenfor) Meld deg på her for å få tilgang.

Når det gjelder å fylle ut protokollen, så må du huske at det bare er ett av stegene - det er også en hel del gjøremål knyttet til den.

Dette må du sjekke for leverandørene du bruker

Blant annet må du skaffe til veie databehandleravtaler med alle leverandørene du benytter i virksomheten din, som behandler personopplysninger på dine vegne. Dette er pålagt etter GDPR artikkel 28. Du er også pålagt kun å bruke leverandører som er “GDPR-klar”. 

Sjekk først hvor leverandøren din holder til, for det har stor betydning for om du trenger mer enn en databehandleravtale. En leverandør kan også ha hovedkontor i ett land, men servere i mange. Du må altså få bekreftet hvor dine data er lagret. SiteGround, for eksempel, har hovedkontor i Spania, men lagrer mine data i Nederland.

Tips: Hvis du drifter din egen nettside, og bruker cPanel, kan du selv sjekke hvor serveren “din” er. Gå da til My Accounts -> Information & Settings -> Server Location. Ta skjermbilde, og lagre i GDPR-mappa.

Hvor dataene dine er lagret har altså stor betydning.

Innenfor eller utenfor EØS-området?

Dette er den viktigste avgrensningen. Landene i EØS-området anses for å ha sikre IT-systemer og et særlig godt personvern. Derfor er det bare databehandleravtale du trenger med leverandører som lagrer personopplysninger her. Det gjelder også en rekke land utenfor EØS, som EU-kommisjonen har godkjent som sikre nok.

Avsjekkene nedenfor gjør du i rekkefølgen de står. Dersom svaret på en avsjekk er “ja”, trenger du ikke å sjekke videre nedover. Er svaret “nei”, må du gå til neste punkt.

Hvis du ikke står på GDPR e-postlisten min og dermed ikke har mottatt veiviseren jeg har laget for avsjekken, kan du melde deg på listen nå. Svar på den første e-posten du får fra meg, så skal jeg sende deg lenke til den. :)

Avsjekk 1: Er leverandør og data innenfor EØS?

Det første du må sjekke, er om personopplysningene som behandles, forblir innenfor EØS-området (EØS). EØS består per juni 2018 av de 28 medlemslandene i EU, samt EØS-landene Norge, Liechtenstein og Island.

Dersom leverandør og data er innenfor EØS, trenger du kun databehandleravtale. I motsatt fall er det flere avsjekker du må gjøre.

Avsjekk 2: Er det aktuelle landet et forhåndsgodkjent land?

EU-kommisjonen kan, etter en ganske omstendelig prosess, anerkjenne at land utenfor EØS har tilfredsstillende regler og nivåer for sikring av personopplysninger. Dette er de såkalte “adequacy decisions”, og per april 2019 er følgende land godkjent:

1. Andorra
2. Argentina
3. Canada (kommersielle organisasjoner)
4. Færøyene
5. Guernsey
6. Israel
7. Isle of Man
8. Japan
9. Jersey
10. New Zealand
11. Sveits
12. Uruguay

Dersom leverandør og data er innenfor ett av disse landene, trenger du kun databehandleravtale. I motsatt fall går du til neste avsjekk.

Avsjekk 3: Er landet USA?

USA er faktisk også et forhåndsgodkjent land, men der gjelder særlige betingelser i tillegg. Databehandlere i USA må også være sertifisert under Privacy Shield (når det gjelder forhåndsgodkjente land). Det er en egen sertifiseringmåte som skal sikre at personopplysninger ivaretas på en tilstrekkelig måte. Du må altså både ha en databehandleravtale, og sjekke at leverandøren er sertifisert. Det kan du sjekke på denne siden: Privacy Shield.

NB! For å kunne benytte leverandører under Privacy Shield gjelder en rekke kriterier, som jeg vil komme tilbake til i et annet innlegg. I mellomtiden kan du lese mer på Datatilsynets side om overføring til utlandet, men merk at siden (ennå!) ikke er oppdatert…

Tips: Husk å lagre lenken til Privacy Shield-sertifiseringen, sammen med et skjermbilde, i GDPR-mappen din. Dette må du vise frem i tilfelle tilsynskontroll.

Dersom landet er USA, men leverandøren mangler Privacy Shield-sertifisering, er det fortsatt mulig å bruke de, men da må man benytte andre måter for at overføring av personopplysninger skal være lovlig. Se neste avsnitt.

Hva om du har svart “nei” på alt?

Dersom landet heller ikke er USA (eller er USA, men leverandøren mangler Privacy Shield-sertifisering), er det fortsatt muligheter for å benytte leverandøren. Du må fortsatt skaffe til veie en databehandleravtale (og husk at du bør sjekke at avtalen er i samsvar med GDPR). Videre må du sørge for at en av de andre mulige måtene kan brukes, f.eks. bindende konsernregler eller EUs standardkontrakter (model clauses). Det kan du lese mer om på EU-kommisjonens sider.

Det er også andre muligheter, men alt dette er for omfattende å gå nærmere inn på her. Følg med her fremover, eller meld deg på listen min for å sikre at du får beskjed neste artikkel i serien kommer.

Toppbilde av MichaelGaida, Pixabay