Nyhetsbrev om nasjonal DPIA for Google Workspace for Education

Vi har fått et nytt rammeverk for overføringer av personopplysninger til USA. Hvordan påvirker det arbeidet vårt?

Hei !

Og velkommen tilbake fra ferien! Flere av oss i det nasjonale DPIA-prosjektet er tilbake fra ferie denne uka. Men det betyr ikke at det ikke har skjedd ting i ferien. Arbeidsgruppa som har ansvaret for temaet overføringer av personopplysninger ut av EU/EØS har jobbet stort sett hele ferien. 

Og godt er det fordi midt i juli trådte rammeverket som erstatter Privacy Shield som lovlig overføringsgrunnlag til USA i kraft. Så hva nå?  

Planen var å gjøre TIA-vurderinger som en del av den nasjonale DPIAen

Før det nye rammeverket trådte i kraft, var det eneste overføringsgrunnlaget for overføringer av personopplysninger fra EU/EØS til USA Standard Contractual Clauses (EUs standardbestemmelser). Men det overføringsgrunnlaget kunne ikke brukes alene. 

Kommunen må gjøre vurderinger om hvor trygt det er å overføre personopplysningene i tillegg. Formelt sett er dette en vurdering av om det overføringsgrunnlaget du bruker gir en god nok personvernbeskyttelse i tredjelandet. Dette kalles gjerne en Transfer Impact Assessment (TIA).

Planen vår var å gjøre disse tredjelandsvurderingene for de landene hvor Google har datasentre for Google Workspace for Education. Det vil si USA, Singapore, Taiwan og Chile. 

Har den endret seg nå? 

Rammeverket ER gyldig

Det korte svaret er at arbeidet vårt med TIA og overføringer nok ikke vil endre seg. Vi kommer fortsatt til å jobbe med vurderingene av de landende hvor Google har datasentre. Men hvis rammeverket er gyldig idet vi ferdigstiller DPIA, kommer vi nok til å anbefale å bruke det som overføringsgrunnlag. 

Uansett hva vi måtte mene om amerikansk etterretningslovgivning (og her mener vi som jobber med dette i prosjektet MYE), ER det nye rammeverket gyldig.

Så hvis selskapet du overfører personopplysningene til er sertifisert etter rammeverket, vil du kunne bruke adekvansvurderingen som overføringsgrunnlag. 

Google er sertifisert etter rammeverket og du kan finne alle de andre selskapene som er sertifisert listet opp her. 

Risiko for at rammeverket blir overprøvd – vi må ha en plan B

Men vi vet også at det er høy sannsynlighet for at det nye rammeverket vil bli rettslig prøvd i EU-domstolen. Max Schrems og NOYB har allerede signalisert at de anser at det nye rammeverket er en kopi av Privacy Shield som ble overprøvd i Schrems II-dommen. De vil også søke å overprøve rammeverket. 

Hvis det nye rammeverket også blir kjent ugyldig, vil du måtte falle tilbake på det tidligere overføringsgrunnlaget, det vil si SCC og tredjelandsvurderinger. Og da må vi ha en plan B. Så vi fortsetter å gjøre tredjelandsvurderinger i nasjonal DPIA-prosjektet.  

Jeg ønsker deg en riktig god, personvernvennlig helg!

Vennlig hilsen 

Ida Thorsrud

prosjektleder nasjonal DPIA

Ps. Har dere tatt stilling til nytt overføringsgrunnlag nå som vi har fått et nytt rammeverk? Del det med oss ved å svare på denne e-posten! 

KS er kommunesektorens organisasjon og representerer alle
norske kommuner og fylkeskommuner.

Jeg ønsker ikke å motta flere nyhetsbrev 

Har du gått glipp av noen nyhetsbrev? Se en fullstendig oversikt her!

Newsletter: Progress on the National DPIA for Google Workspace for Education

We have got a new framework that permits EU-US Transfers of personal data – how does it affect our work?

Hi !

Welcome back from vacation! Several of us in the national DPIA project are back this week. However, that doesn't mean there hasn't been any activity during the holidays. The working group responsible for how we are going to handle EU-US transfers of personal data, has been busy throughout the vacation.

This is particularly crucial because in mid-July, the framework that replaces Privacy Shield as a legal basis for transferring data to the USA came into effect. So, what now?

The plan was to conduct TIA assessments as part of the national DPIA

Before the new framework came into effect, the only legal basis for transferring personal data from the EU/EEA to the USA was the Standard Contractual Clauses. However, this basis alone could not be used.

The controller exporting data must also assess how secure it is to transfer the personal data. Formally, this is an assessment of whether the legal basis you use provides sufficient privacy protection in the third country. This is commonly referred to as a Transfer Impact Assessment (TIA).

Our plan was to conduct these assessments for the countries where Google has data centers for Google Workspace for Education, namely the USA, Singapore, Taiwan, and Chile.

Has this changed now?

The framework IS valid

The short answer is that our TIA-work and data transfers will likely remain unchanged. We will continue to work on the assessments for the countries where Google has data centers. And if the framework is valid at the time we finalize the DPIA, we will likely recommend using it as the transfer basis.

Regardless of what we might think about US intelligence legislation (and we have strong opinions on that, especially those of us working on EU-US data transfers), the new framework is valid.

So, if the company you transfer the personal data to is certified under this framework, you can use the adequacy decision as the transfer basis. Google is certified under the framework, and you can find all other certified companies listed here. 

Risk of the framework being invalidated - we need a Plan B

But we are also aware that there is a high probability that the new framework will be legally challenged in the Court of Justice of the European Union (CJEU). Max Schrems and NOYB have already indicated that they consider the new framework to be a copy of Privacy Shield, which was invalidated in the Schrems II ruling. They will also seek to challenge the new framework.

If the new framework is also deemed invalid, you will have to fall back on the previous transfer basis, namely SCC and TIAs. In that case, we need to have a Plan B. So, we will continue to conduct third-country assessments in the national DPIA project.

I wish you a wonderful, privacy-friendly week-end!

Best regards,

Ida Thorsrud

Project manager national DPIA

Ps. Have you decided on the new transfer basis now that we have a new framework? Share it with us by replying to this email!

KS is The Norwegian Assosiation of Local and Regional Authorities

Jeg ønsker ikke å motta flere nyhetsbrev 

Har du gått glipp av noen nyhetsbrev? Se en fullstendig oversikt her!