Om Kontakt Tjenester Nettbutikk Global 🌎 E-brev Logg inn

Ulovlig overføring av personopplysninger til USA (og flere)?

gdpr Aug 10, 2020

Aller først; dette er ikke et innlegg for å lære om GDPR.

Jeg forutsetter følgende:

Hvis GDPR er helt nytt, start med å lese og følge denne guiden (grundig): Hva er GDPR og hva betyr GDPR for en liten bedrift? og hvis du trenger hjelp, meld interesse her

Denne artikkelen handler om hvordan du skal håndtere «Schrems II»-dommen, der blant annet Privacy Shield ble kjent ugyldig. Se øvrige kilder nederst.

Merk at målgruppen for artikkelen er småbedriftseiere og informasjon er derfor forenklet. Les hele ansvarsfraskrivelsen min her.

Privacy Shield kjent ugyldig og krav om ekstra tiltak

Privacy Shield er en sertifiseringsordning kun for amerikanske databehandlere. I den nylige EU-dommen ble imidlertid bruk av Privacy Shield som overføringsgrunnlag kjent ugyldig.

All bruk av amerikanske databehandlere og/eller lagring av personopplysninger i USA, som kun baserte seg på denne sertifiseringen, ble altså ulovlig 16. juli 2020 (ingen overgangsperiode).

Svært mange blir berørt av dette, inkludert alle som bruker Google (G Suite, Gmail osv.) Microsoft (Azure, Outlook osv.), AWS, Kajabi (som jeg bruker), Facebook og tusenvis av andre amerikanske databehandler.

Alle bør nå jobbe på spreng for å få på plass andre overføringsgrunnlag (nødvendige garantier, jfr. GDPR kapittel V), for eksempel Standard Contractual Clauses (SCC), altså EUs standardkontrakter (men det er ofte ikke tilstrekkelig).

Ikke lenger nok med gyldig overføringsgrunnlag (nødvendig garanti)

Dommen gikk ikke bare ut på at Privacy Shield ble kjent ugyldig. Andre overføringsgrunnlag er bindende virksomhetsregler («binding corporate rules») og EUs standardkontrakter.

Også kalt «standard personvernbestemmelser», «Model Clauses» eller «Standard Contractual Clauses» («SCC»).

Domstolen sa videre at en slik garanti ikke lenger er nok i seg selv.

Nå setter de i tillegg krav om at du må gjøre en grundig risikovurdering av overføringen av personopplysninger, inkludert av landet du ønsker å overføre til, og av selskapet.

Det betyr at vi må ha stålkontroll på hvor vi lagrer alle personopplysninger vi behandler i virksomheten vår.

Dette må du gjøre

Min personlige mening er at det er lite sannsynlig at Datatilsynet vil bøtelegge noen ifm. Schrems II akkurat nå (august 2020). Men får du tilsyn (fordi noen har klaget deg inn), er sjansen vesentlig høyere hvis du ikke har gjort noe med GDPR.

Hvis det er tilfelle du komme i gang, og da bør du starte her: GDPR Startpakke for små bedrifter

Forutsetninger for arbeidet

Utgangspunktet for det du må gjøre, er behandlingsprotokollen din (det er en forutsetning at du er ferdig med denne). I den står nemlig alle databehandlere og systemer du bruker i virksomheten din (til å behandle personopplysninger).

Datatilsynet sier også at alle øvrige krav etter GDPR skal være på plass og nevner spesielt databehandleravtaler og risikovurdering. Du bør ha kopier av databehandleravtalene og risikovurderingen lagret i en egen mappe, og henvise til disse i protokollen.

Oppdatert november 2020: Personvernrådet har laget et flytskjema som viser hva du trenger å gjøre. Stegene nedenfor er satt opp litt annerledes, men dekker akkurat det samme.


Steg 1: Hvem har og hvor er personopplysningene? Hvem har tilgang?

I steg 1 må du finne ut hvor databehandleren er fra, hvor personopplysningene lagres og hvem som har tilgang.

Gjør følgende:

  • Åpne behandlingsprotokollen din
  • Gå systematisk gjennom hver oppføring og sjekk 1) hvilket land databehandleren er fra, 2) i hvilket land de lagrer personopplysningene de behandler på dine vegne (dette bør allerede stå i protokollen din) og hvem som har tilgang (bør stå i databehandleravtalen)
  • Merk alle land/databehandlere du plikter å ha et overføringsgrunnlag (nødvendig garanti) for, dvs. alle land utenfor det godkjente området

Nå har du en fullstendig oversikt over hvor databehandlerne dine er fra, hvor personopplysninger i virksomheten din lagres og hvem som eventuelt har tilgang til disse.

NB! Kun det å ha tilgang til personopplysninger anses som en overføring, og må også tas med. Det betyr at hvis en europeisk databehandler har kundeservicen sin i India, må de ha et overføringsgrunnlag for dette, selv om personopplysningene ikke fysisk «overføres» til India.

Steg 2: Finn/identifiser overføringsgrunnlag (nødvendig garanti)

I neste steg må du vurdere om overføringsgrunnlaget som er brukt tidligere, fortsatt er godt nok.

Gjør følgende:

  • Sjekk hvilke(t) overføringsgrunnlag hver databehandler bruker, spesielt de som er Privacy Shield-sertifisert og om de i tillegg har bindende virksomhetsregler eller EUs standardkontrakter (dette bør allerede stå i protokollen din)
  • Hvis du ikke har skrevet ned overføringsgrunnlaget må du finne ut hva det er, for eksempel på nettsidene til databehandleren eller i databehandleravtalen
  • Alle overføringer basert på EUs standardkontrakter eller bindende virksomhetsregler må dobbeltsjekkes

Merk spesielt alle databehandlere som kun er Privacy Shield-sertifisert – disse overføringene er per i dag ulovlig.

Gå til neste steg.

Steg 3: Sjekk om databehandleren driver i tråd med GDPR

EU-dommen pålegger oss å sikre at beskyttelsen av personopplysninger vi overfører/lagrer utenfor EØS (og godkjente land), er like god som om personopplysningene ble lagret i EØS.

Det gjelder for to perspektiver, som vi går gjennom her i steg 3 og 4.

Det første vi må gjøre er å sikre at databehandlerne har et godt nok beskyttelsesnivå for personopplysningene de behandler på våre vegne (inkludert for de som får tilgang til disse).

I den generelle risikovurderingen din skal du allerede ha vurdert databehandlerens tekniske og organisatoriske sikkerhetstiltak. Dette beskriver de typisk i personvernerklæringen sin.

MailChimp har et godt eksempel her. Vi ser på sertifiseringer, hvordan de sikrer datasenteret, interne rutiner m.m.

En slik risikovurdering skal du ha gjort uansett, og for alle databehandlere (ikke bare de utenfor EØS), men det er viktigere nå enn noen gang.

Steg 4: Sjekk om landets lover er i tråd med GDPR

Det som nå kommer som i tillegg, er at vi skal vurdere hvordan personvern ivaretas i landet du overfører personopplysninger til.

Vi skal altså vurdere et lands nasjonale lover for personvern, overvåking og antispionasje (! 🤯)

Et eksempel på at et slikt beskyttelsesnivå ikke er godt nok, er alle virksomheter i USA som er underlagt en eller begge av de amerikanske overvåkingslovene FISA 702 og E.O. 12333. Overføring til slike virksomheter er nå, etter Max Schrems og noybs mening ulovlig, uansett hvilket overføringsgrunnlag de bruker.

Andre mener at dette må vurderes for og av hver enkelt virksomhet, så lenge en har implementert ytterligere tiltak som forsterker SCC-ene og avtalene en har med databehandleren.

Hvilke personopplysninger en behandler er også relevant - det er stor forskjell på om en behandler kun navn og e-postadresse vs. særlige kategorier personopplysninger. Her må du uansett gjøre en vurdering og ta en beslutning selv.

Merk imidlertid at hvis Privacy Shield er eneste overføringsgrunnlag, er overføringen ulovlig uansett.

Her må databehandleren få på plass bindende virksomhetsregler* eller EUs standard personvernbestemmelser (SCC), for å sikre lovlig overføring fremover.

Gjør følgende:

  • Sjekk nettsidene til databehandlere som kun lener seg på Privacy Shield i dag*, eller ta direkte kontakt med dem for en statusoppdatering
  • Gjennomfør og dokumenter en risikovurdering for bruk av disse databehandlerne (overføringen er ulovlig, men da tar du i alle fall grep nå)
  • Gjennomfør (og dokumenter) en risikovurdering for alle databehandlere som lener seg på bindende virksomhetsregler eller EUs standardkontrakter

Risikovurderingen skal strengt tatt inneholde en vurdering av landets lovverk.

NB! Merk at disse risikovurderingene kommer i tillegg til den vanlige risikovurderingen du allerede skal ha gjennomført for all behandling av alle personopplysninger i virksomheten din.

Land som typisk er «røde flagg» er USA, Kina og Russland og utsatte databehandlere er Facebook, Google, Apple, Amazon (AWS) og Microsoft - sjekk hele listen hos noyb.

* Å få godkjent bindende virksomhetsregler er en lang og omstendelig prosess som typisk tar 1-2 år (!). Det er mer trolig at databehandler som kun lener seg på Privacy Shield i dag, jobber med å få på plass EUs standardkontrakter.

Steg 5: Foreløpig konklusjon

Nå sitter du med en god oversikt over alle databehandlere du bruker, hvor de er fra og lagrer personopplysninger, hvem som har tilgang og om noen av overføringene du gjør i dag, er ulovlig.

Hvis oversikten og risikovurderingen din viser at:

  • databehandlerne dine har gode nok tekniske og organisatoriske sikkerhetstiltak, og
  • de kommer ikke fra land med lover som er i konflikt med GDPR, eller
  • de er ikke underlagt slike problematiske lover;

Da kan du fortsette å bruke de med god samvittighet!

Hvis resultatet imidlertid er at:

  • databehandlerne ikke har gode nok tekniske og organisatoriske sikkerhetstiltak, eller
  • de er underlagt lover som er i konflikt med GDPR

Da må du gjøre (og dokumentere) en tilleggsvurdering og bestemme deg for om du vil (tar sjansen på å) fortsette å bruke databehandleren, eller bytte til en annen. Vurder hvilke personopplysninger du behandler, for hvem, i hvor stort omfang, hvor lenge m.m.

Det viktigste er uansett at du gjør noe.

Steg 6 (oppdatert nov. 2020): Identifiser ytterligere tiltak

I november publiserte Datatilsynet oppdatert informasjon fra Personvernrådet, men om det er gode nyheter vet jeg ikke.

Her legger de fortsatt til grunn at alle, uansett størrelse på virksomheten og ressurser, skal vurdere et annet lands nasjonale lover m.m. Prosesser EU selv ofte bruker flere år på. En kan spørre seg hvor praktisk disse rådene egentlig da blir.

Uansett, min anbefaling er at du i alle fall gjør et forsøk på arbeidet.

Når du har gått gjennom stegene over og der du har konkludert med at overføring trolig ikke er godt nok dekket, må du identifisere "ytterligere tiltak" for å fortsette å behandle personopplysningene. Disse kan være:

  • Kontraktuelle, f.eks. krav om at databehandler innfører visse sikkerhetstiltak
  • Organisatoriske: f.eks. interne rutiner for deling av personopplysninger mellom selskaper i et konsern
  • Tekniske: f.eks. kryptering, pseudonymisering

Men, i noen situasjoner er det rett og slett ikke mulig å innføre ytterligere tiltak som veier opp for manglene slik de defineres av den europeiske domstolen, f.eks. for amerikanske virksomheter som plikter å utlevere personopplysninger under FISA 702.

Da er slik behandling av personopplysninger ulovlig, og Datatilsynet krever at vi stopper behandlingen. Merk at dette gjelder for aktører som Microsoft, Google og Amazon AWS, som en svært stor andel av både privat og offentlig sektor i Norge (og resten av Europa) bruker.

Det vil overraske meg stort om Datatilsynet går ut og forbyr slik bruk - men det blir spennende å følge utviklingen.

📝 I mellomtiden bør du ta alle grep du kan ta, og dokumentere innsatsen. Da stiller du i alle fall sterkere - skulle du få tilsynskontroll.

Hva er risikoen ved et GDPR-brudd?

Risikoen ved å bryte GDPR (generelt) har særlig to perspektiver:

  • Bøter (opptil 20 millioner euro eller 4% av den totale omsetningen din)
  • Dårlig rykte i markedet / omdømmetap

Og hvor mye risiko du er villig til å ta, er din egen vurdering.

Det første (og viktigste) du bør gjøre i dag er uansett å sikre at du har det grunnleggende personvernarbeidet ditt på plass. Det neste er å gjennomføre stegene over.

101 klager på bruk av Google Analytics og Facebook Connect

Datatilsynet skriver at mye overføring av personopplysninger til såkalte tredjeland nå er ulovlig. Alle datatilsynene i Europa jobber intenst med å håndtere dommen og mange har kommet med ulike råd.

At datatilsynene ikke klarer å enes om hvordan situasjonen skal håndteres, er ingen hvilepute for ikke å gjøre noe.

For NOYB har allerede klaget inn over hundre bedrifter og organisasjoner, fra samtlige land i EØS. Og ifølge uttalelser de har kommet med i sosiale medier, er dette bare begynnelsen.

De jobber også med å kartlegge og klage inn virksomheter for manglende innhenting av samtykke til bruk av cookies og lignende teknologi (som Facebook piksel).

Hva må du gjøre – i dag?

Hvordan du skal håndtere denne situasjonen går igjen på din egen risikovillighet (eller -aversjon).

Datatilsynet vil trolig ikke, på eget initiativ, jakte på deg som liten bedrift. Risikoen er, som nevnt tidligere, at andre vil klage deg inn. Og hvis du har en nettside som retter seg mot utlandet, kan disse klagene komme fra personer i andre land.

Men én ting er sikkert; du må gjøre noe. Og hvis du ikke har gjort noe med GDPR ennå, ligger du tynt an hvis du får tilsynskontroll.

Og noe av det viktigste du kan gjøre i GDPR-arbeidet ditt, er å dokumentere. Hvis du skulle få tilsynskontroll av Datatilsynet kan denne dokumentasjonen være avgjørende for hvilken reaksjon du eventuelt skulle få.

Dokumentasjon viser at du har reflektert over personvernarbeidet ditt og at du tar grep for å ta best mulig vare på personopplysninger.

Og det er nettopp dette datatilsynene vil se. De er ikke ute etter å ta oss på flest mulig feil, men å se hvordan vi lever opp til ansvaret vårt – og at vi er dette ansvaret bevisst.

Du har også en strålende mulighet til å vise til kunder, ansatte, samarbeidspartnere og andre at du ikke bare sier at du «tar personvern på alvor», du gjør det. ✅

Og det er et konkurransefortrinn.

Hva har Bedre Bedrift AS gjort?

Hvis du har fulgt meg før vet du at jeg virkelig brenner for personvern og synes at GDPR er gøy. 🤓 (Joda, det er mulig!) Men til og med jeg synes at det er overveldende å vurdere hvordan et land ivaretar personvern i sine nasjonale lovverk.

Etter å ha brukt noen dager på å lese gjennom amerikanske overvåkingslover og direktiver fra presidenten har jeg nå en betydelig bedre forståelse. Risikovurderingene mine har jeg oppdatert tilsvarende.

Jeg venter også på oppdateringer fra flere databehandlere (spesielt de som kun lente seg på Privacy Shield). Så snart jeg får svar på om de for eksempel har fått på plass EUs standardkontrakter, oppdaterer jeg risikovurderingene mine igjen.

Jeg vurderer også fortløpende om jeg må bytte databehandlere, men jeg kan ikke tro at det ikke vil komme en løsning. Til det står for store økonomiske verdier på spill, både for EU og for USA

Forhåpentligvis kan de europeiske datatilsynene enes om veien videre og den praktiske håndteringen av dommen. Så får vi også vente og se hva Datatilsynet råder oss til å gjøre videre.

Trenger du hjelp?

Jeg skjønner at dette er overveldende. Det synes selv jurister og personvernentusiaster (som meg)!

Jeg håper at denne artikkelen gir deg en god start på arbeidet, og hvis du følger den til punkt og prikke har du kommet langt på vei.

Hvis du ennå ikke er i gang med personvernarbeidet ditt bør du 1) lese denne GDPR-guiden grundig og 2) investere i en kvalitetssikret mal for personvernerklæring, så du også kan vise utad at du gjør noe.

Meld deg også på e-brevet mitt for å få løpende oppdateringer hver gang noe «spennende» skjer på GDPR-fronten (😅). Jeg deler også generelle funderinger over livet som småbedriftseier og tips til hvordan du kan drive profesjonelt og lønnsomt.

Og hvis du er en større virksomhet kan du lese om personvernpartner og prosjektledelse - og gjerne ta kontakt for en uforpliktende prat.

Lykke til!

Bakgrunn, kilder og ressurser

GDPR sjekkliste ✅

Motta sjekklisten som PDF og (kun) to e-poster til med konkrete tips til arbeidet (meld deg av når som helst).

 

Og selv om e-postene også nevner hvordan jeg kan hjelpe deg, blir du ikke bombardert med salgspitcher (som ingen kan fordra 🤢). For å ivareta markedsføringsloven trenger jeg samtykket ditt, derfor må du krysse av i boksen 👇. Les mer om personvernet ditt her.

Close

Få viktige oppdateringer om GDPR og nyttige tips for å drive en lønnsom og profesjonell bedrift.

Nyhetsbrev sendes ut 1-2 ganger i måneden og inneholder noen ganger informasjon om produkter og tjenester. Meld deg av når som helst.

Abonnenter får invitasjon til et gratis ressursbibliotek for småbedriftseiere og gründere.

Personvern