Nyhetsbrev om nasjonal DPIA for Google Workspace for Education

LinkedIn Live om overføringer av personopplysninger ut av EU/EØS

Hei !

En vesentlig del av dette prosjektet vil være å vurdere hvordan personopplysninger overføres til land utenfor EU/EØS (såkalte tredjeland) når du som kommune bruker Google. Og det er en vanskelig vurdering. Det vet vi fordi flere av oss som jobber i nasjonal DPIA-prosjektet har gjort slike vurderinger før, og de er notorisk vanskelige. 

Undersøkelsen vi sendte ut for en tid tilbake siden (hvis resultater du kan laste ned her) viste oss også at det er få som har gjort en slik vurdering. 

Litt historie

Maximillian (Max) Schrems er en jurist fra Østerrike som første gang i 2013 klagde Facebook inn til irske Datatilsynet for at de lagret personopplysningene hans i USA. Han mente at Facebook ikke kunne garantere for at hans personvern ville ivaretas i USA på tilsvarende måte som i EU. EU-domstolen var enig med ham, og i 2015 ble overføringsgrunnlaget «Safe Harbour» kjent ugyldig i dommen som har fått navnet Schrems I. 

Safe Harbour ble erstattet av «Privacy Shield», men sommeren 2020, ble også det kjent ugyldig av EU-domstolen. Og her er vi i dag.

Hvilke vurderinger skal prosjektet gjøre?

Vurderinger om overføringer av personopplysninger til tredjeland kalles flere ting. Vi snakker om tredjelandsvurdering, Transfer Impact Assessments (TIA) eller Schrems II-vurderinger. Og det korresponderer med Trinn 3 i the European Data Protection Board (EDPB) sin veiledning på hva du som behandlingsansvarlig må gjøre når du overfører personopplysninger ut av EU/EØS.

Det finnes flere veiledere på dette. EDPB har en som vi allerede har nevnt og vårt eget Datatilsyn har også en, se punkt 6 i veilederen under overskriften «særlig om steg 3 – Vurdering av beskyttelsesnivået». 

Hvorfor er disse vurderingene vanskelige? 

For det første er det ikke rett frem hva en «overføring» av personopplysninger ut av EU/EØS egentlig er. Hva som faktisk er en «overføring» av personopplysninger, er nemlig ikke definert i GDPR. Men hvis noe er en «overføring», vil hele kapittel 5 i GDPR gjelde. Så det er helt avgjørende å vite hva en «overføring» er, for å kunne etterleve GDPR. 

Definisjonen ble i år tydeliggjort i en ny veileder fra EDPB Guidelines 05/2021 on the Interplay between the application of Article 3 and the provisions on international transfers as per Chapter V of the GDPR.  

Så hva sier veilederen? For at noe skal være en «overføring» må alle disse vilkårene være oppfylt: 

1. GDPR må gjelde for behandlingsansvarliges eller databehandlerens behandling av personopplysninger
2. Personopplysningene må «utleveres ved overføring (transmission) eller på annen måte gjøres tilgjengelig» for en dataimportør.
3. Den som mottar personopplysningene (dataimportøren) må befinne seg utenfor EU/EØS.

For det andre, må du gjøre en vurdering av om det overføringsgrunnlaget du bruker er godt nok for å beskytte personopplysningene i tredjelandet. Dette kalles gjerne en Transfer Impact Assessment (TIA). 

Og dette er vanskelig. For å gjøre denne vurderingen, må du vite hvilke lover i tredjelandet som er personvernfremmede, og hvilke lover som kan være innebære en krenkelse av personvernet. 

Men det stopper ikke der. Vi må også vite hvordan lovene fungerer i praksis. Og det er typisk etterretningslover som det er vanskelig å finne ut av hvordan faktisk fungerer. 

Finnes det en løsning?

Datatilsynets oppdaterte sin veiledning med to eksempelsaker i mars i år. En av de var fra Sikt (kunnskapssektorens tjenesteleverandør) og deres vurdering av en amerikansk etterretningslov (FISA 702). 

Datatilsynet har ikke «godkjent» Sikt sin vurdering, men de har vist til den som en eksempelsak i den oppdaterte veiledningen sin til overføringer av personopplysninger ut av EU/EØS. 

LinkedIn Live om overføringer ut av EU/EØS

Lurer du på hvordan vi jobber med landvurderingene i prosjektet ? Kom på LinkedIn Live 28.06 fra kl. 12.00 til 13.00. Link til arrangementet finner du her!

Rebecca Araldsen Blom (jurist i Seksjon for digitalisering og virksomhetsstyring i Bergen kommune) og Ida Thorsrud (prosjektleder) kommer til å snakke om: 

• Planene våre med disse vurderingene,
• Hvilke lover og tredjeland vi ser på først,
• Hvilke utfordringer vi har møtt på så langt og
• Vanlige spørsmål vi ser at folk sliter med

Kan du ikke den datoen? Fortvil ikke, du kan når som helst gå inn på linken og se opptaket etter at vi har gjennomført arrangementet.

Vel møtt! 

Jeg ønsker deg en riktig god, personvernvennlig helg!

Vennlig hilsen 

Ida Thorsrud

prosjektleder nasjonal DPIA

Ps. Vi har ferie fra disse nyhetsbrevene i juli. Dette blir derfor det nest siste brevet du mottar fra oss på en stund.

KS er kommunesektorens organisasjon og representerer alle
norske kommuner og fylkeskommuner.

Jeg ønsker ikke å motta flere nyhetsbrev 

Har du gått glipp av noen nyhetsbrev? Se en fullstendig oversikt her!