Nyhetsbrev om nasjonal DPIA for Google Workspace for Education

Hvilken metode bruker vi for TIA? 

Hei !

Det er på ny tid for å snakke om Transfer Impact Assessments eller tredjelandsvurderinger. Vi i det nasjonale DPIA-prosjektet har virkelig gått mange runder for å komme frem til den metoden vi faktisk skal bruke. 

Og der vi har endt opp føles litt som at vi har endt opp tilbake til start. Eller kanskje det er slik det føles å «komme hjem»? 

Uvisst! 

Dette nyhetsbrevet handler uansett om tredjelandsvurderinger. Du vet de utrolig kjipe og vanskelige vurderingene du må gjøre når du overfører personopplysninger ut av EU/EØS. 

Men først, vi skal ha en LinkedIn Live om dette temaet fredag 14.06 fra kl 12.00 til 13.00. 

Velkommen! 

Hva må du gjøre når du overfører personopplysninger ut av EU/EØS?
Det er flere ting du må gjøre når du overfører personopplysninger ut av EU/EØS. Det europeiske personvernrådet (European Data Protection Board (EDPB)) har laget en 6-trinnsmodell som du ser her: 

Det første du må gjøre er å få en oversikt over hvilke personopplysninger som overføres, og hvilket behandlingsgrunnlag du bruker. 

Hvis du overfører til et land som ikke er godkjent av EU-kommisjonen, må du gå videre til trinn 3 hvor du skal «vurdere om overføringsgrunnlaget vil være effektivt», altså om personoplysningene vil behandles på en måte som gir et personvern tilsvarende det vi har under GDPR. 

Det er her du gjør en «tredjelandsvurdering» eller en Transfer Impact Assessment (TIA) som danner grunnlaget for om du skal iverksette «ytterligere tiltak». Dette for å beskytte de personopplysningene som du overfører fra personvernbrudd i det landet du overfører til.  

Det er her mange sliter. For hva skal du egentlig vurdere? 

Etter litt om og men, har vi brukt EDPBs veileder om «European Essential Garantees». Dette er en veileder som redegjør for den europeiske rettslige standarden for lover og regler. 

Innenfor EU/EØS har vi nemlig en rettstradisjon som bare respekterer inngrep i menneskerettighetene under visse forutsetninger. Personvern er en slik menneskerettighet. 

Veilederen skisserer at du i en tredjelandsvurdering må se på lovene i det landet du skal overføre personopplysninger til. Så må du vurdere om de personverninngrepene som landet har åpnet for ville bli akseptert i EU/EØS. 

Ja, det er DEN vurderingen av lover og regler i «tredjeland» som er en TIA eller en tredjelandsvurdering.  

4 grunnleggende garantier
Hva er garantiene som våre lover må leve opp til for at personverninngrep skal være innenfor GDPR? Jo, vi snakker om 4 grunnleggende garantier: 

1. Loven som gjør inngrep i personvernet må være klar og presis og den må være tilgjengelige for allmennheten
2. Inngrepet i personvernet må være nødvendig og proporsjonal, og inngrepet må oppnå et legitimt formål
3. Det må føres uavhengig tilsyn og kontroll med at personverninngrepene (f.eks. overvåkning) ikke går for langt
4. Den registrerte må kunne prøve personvernrettighetene sine for en domstol eller et klageorgan. Dette kalles effektive rettsmidler på jussisk!

Og så er det vår oppgave å finne de regelverkene som gjør inngrep i personvernet, og vurdere om de lever opp til disse 4 garantiene. 

Og det er litt av en jobb! 

Kom på LinkedIn Live fredag 14.06 fra kl 12.00 til 13.00 så kommer vi til å si noe om hvordan vi har gått frem, og erfaringene våre med å vurdere Taiwan som tredjeland.

Dette er generelle vurderinger – det betyr at du kan dele dem med naboen!
Men før vi avslutter: det vi gjør i en tredjelandsvurdering er å vurdere lover og regler i tredjelandet. Og det betyr at en tredjelandsvurdering for en type behandling, vil være lik for en annen behandling i samme land. 

Det betyr at når du som kommune og skoleeier først har gjort en slik vurdering, kan du dele dem med andre. 

En TIA er med andre ord ikke som en risikovurdering. Der vil det å dele den med andre åpner deg opp for at uvedkommende vil utnytte sårbarhetene dine. En TIA, slik vi gjør den, er en juridisk vurdering av om lovene i et land utenfor EU/EØS er i tråd med de 4 grunnleggende garantiene som lover skal leve opp til innenfor EU/EØS.

Tanken er at hvis lovene respekterer disse 4 garantiene, vil inngrep i personvernet være legitime, og du som registrert vil ha samme vern som etter GDPR. Da vil også du som behandlingsansvarlig kunne overføre personopplysninger til tredjelandet uten å måtte iverksette supplerende tiltak for å sikre personopplysningene. 

Poenget er at du som kommune og skoleeier bør dele tredjelandsvurderingen din med naboen! For vurderingene deres vil være skikkelig like, det å dele den åpner deg ikke for risiko, og det er ingen vits i å gjøre dobbeltarbeid.  

Det er heller ingenting i veien for å "ringe en venn" eller flere i nabokommuner for å få til et samarbeid om en slik vurdering. Dette er et godt eksempel på at deling gir mer til alle!

Win-win-win!

Jeg ønsker deg en riktig god, personvernvennlig helg!

Vennlig hilsen 

Ida Thorsrud

prosjektleder nasjonal DPIA

Ps. Den metoden vi har valgt å bruke har av noen blitt omtalt som «Rolls-Royce»-metoden. Med det så antar jeg at de mener at vi legger opp på et altfor høyt nivå. Det får meg som prosjektleder til å humre litt. 

For som den observante leser legger merke til, er ikke denne metoden noe vi i det nasjonale DPIA-prosjektet har funnet på. Vi følger veilederen til EDPB ganske til punkt og prikke.

At EDPB som en følge av Schrems II legger seg på en vurdering som i realiteten er en liten adekvansvurdering – altså den type vurdering som EU-kommisjonen bruker årevis på å gjøre – og at det er ganske mye å kreve av behandlingsansvarlige, ja, DET kan vi være enige i! 

KS er kommunesektorens organisasjon og representerer alle
norske kommuner og fylkeskommuner.

Jeg ønsker ikke å motta flere nyhetsbrev 

Har du gått glipp av noen nyhetsbrev? Se en fullstendig oversikt her!

Newsletter: Progress on the National DPIA for Google Workspace for Education

What Method Do We Use for TIA? 

Hi !

It's time again to discuss Transfer Impact Assessments (TIA), or assessments for data transfers to third countries. In the national DPIA project, we've gone through many rounds to finalize the method we will actually use.

And where we've ended up feels a bit like coming back to the beginning—or perhaps it feels like "coming home"?

Uncertain!

This newsletter is all about third-country assessments. You know, those incredibly tricky and challenging assessments you need to perform when transferring personal data out of the EU/EEA.

First off, we'll have a LinkedIn Live on this topic on Friday, June 14, from 12:00 to 13:00. Join us here!

Welcome!

What must you do when transferring personal data out of the EU/EEA?

When transferring personal data out of the EU/EEA, there are several steps you need to take. The European Data Protection Board (EDPB) has devised a 6-step model, which you can see here:

First, you need to get an overview of what personal data are being transferred, and what the legal basis for the transfer is.

If you are transferring to a country not approved by the EU Commission, you must move to step 3, which is to "assess whether the legal basis for transfer will be effective," meaning whether the personal data will be processed in a manner that provides a level of protection similar to that under GDPR.

This is where you conduct a "third-country assessment" or a Transfer Impact Assessment (TIA), which forms the basis for whether you should implement "additional measures" to protect the personal data you transfer from breaches in the destination country.

Many struggle with what exactly to evaluate.

After some consideration, we have used the EDPB's guidance on "European Essential Guarantees." Here's the guideline. This guideline outlines the European legal standard for laws and regulations.

Within the EU/EEA, we have a legal tradition that respects interference with human rights only under certain conditions. Privacy is such a human right.

The guide specifies that in a third-country assessment, you must look at the laws of the country to which you are transferring personal data. Then, you must assess whether the privacy intrusions that the country allows would be accepted within the EU/EEA.

Yes, it's THAT assessment of laws and regulations in a "third country" that constitutes a TIA or third-country assessment.

Four Basic Guarantees
What are the guarantees that our laws must meet for privacy intrusions to be within GDPR?

1. The law that intrudes on privacy must be clear and precise and available to the public.
2. The intrusion on privacy must be necessary and proportional, and the intrusion must achieve a legitimate purpose.
3. There must be independent oversight and control to ensure that the privacy intrusions (e.g., surveillance) do not go too far.
4. The subject must be able to test their privacy rights before a court or a complaints body. This is called effective remedies in legal terms!

And then it's our task to find the regulations that intrude on privacy, and assess whether they live up to these four guarantees.

And it's quite a job!

Join us on LinkedIn Live on Friday, June 14, from 12:00 to 13:00, and we will talk about how we went about this and our experiences with evaluating Taiwan as a third country. Find the event here.

These are general assessments – meaning you can share them with your neighbor!
But before we conclude: what we do in a third-country assessment is to evaluate the laws and regulations in the third country. And this means that a third-country assessment for one type of processing will be the same for another type of processing in the same country.

This means that once you, as a municipality and school owner, have conducted such an assessment, you can share it with others.

A TIA is not like a risk assessment, where sharing it exposes you to others exploiting your vulnerabilities. A TIA, as we conduct it, is a legal assessment of whether the laws in a country outside the EU/EEA align with the four basic guarantees that laws must meet within the EU/EEA.

The idea is that if the laws respect these four guarantees, then intrusions into privacy will be legitimate, and you as the registered will have the same protection as under GDPR. Then you, as the data controller, will also be able to transfer personal data to the third country without having to implement additional measures to secure the personal data.

The point is that you as a municipality and school owner should share your third-country assessment with your neighbor! Because your assessments will be really similar, sharing them opens you up to no risk, and there's no point in duplicating efforts.

It's also perfectly fine to "phone a friend" or more in neighboring municipalities to collaborate on such an assessment. This is a great example of how sharing benefits everyone!

Win-win-win!

I wish you a wonderful, privacy-friendly week-end!

Best regards,

Ida Thorsrud

Project manager national DPIA

This newsletter was translated from Norwegian to English with assistance from ChatGPT by OpenAI. While it guided our translation, we made independent editorial choices. Any discrepancies result from this combined approach.

Ps. The method we have chosen to use has been described by some as the "Rolls-Royce" method. I suppose they mean that we are aiming too high. That makes me, as the project leader, chuckle a bit.

As the observant reader will notice, this method is not something we at the national DPIA project have concocted. We are following the EDPB's guide quite closely.

The fact that the EDPB, as a result of the Schrems II ruling, opts for an assessment that is effectively a mini adequacy decision – the kind of assessment that the EU Commission spends years on – and that this is quite a demand task to put on data controllers, yes, THAT we can agree on!

KS is The Norwegian Assosiation of Local and Regional Authorities

Jeg ønsker ikke å motta flere nyhetsbrev 

Har du gått glipp av noen nyhetsbrev? Se en fullstendig oversikt her!