_STG5818-JohnMathias

Har du “rigget” deg til de nye personvernsretningslinjene?

Har du “rigget” deg til de nye personvernsretningslinjene?

Publisert: 11/12/2020

Webinar 18. desember med John E. Nilsen og Mathias Gebremichael om hvordan du skal håndtere de nye personvernretningslinjene fra EU, etter at Privacy Shield ikke lenger er gyldig rettsgrunnlag.

Privacy Shield er ikke lenger gyldig rettsgrunnlag for behandling av personopplysninger. Nye retningslinjer fra det europeiske datatilsynet skal sikre lovlig overførsel. Delta på webinar om temaet 18. Desember.

av John E. Nilsen

Den 16. juli 2020 avsa EU-domstolen en ny og prinsipiell dom vedrørende overføring av personopplysninger fra EU til USA (Schrems II). Etter denne avgjørelsen er ikke lenger Privacy Shield et gyldig rettsgrunnlag for overføring av personopplysninger fra EU til USA. Det har vært mange spørsmål tilknyttet selskapers behandling av personopplysninger og overføring til tredjeland i ettertid. Det europeiske datatilsynet har nå kommet med retningslinjer vedrørende problematikken. Slik kan du sikre deg at overførselen er lovlig.

 

Kjenn dine overføringer

Som behandlingsansvarlig og databehandler må du kartlegge alle overføringene av personopplysninger utenfor EU/EØS som enten du eller dine underdatabehandlere foretar seg. Det må også kartlegges om tjenesteleverandører som regnes for å være dine underdatabehandlere foretar seg en overførsel utenfor EU. I tillegg må du ta høyde for at dersom du benytter deg av en internasjonal skytjenesteinfrastruktur, som Google, Microsoft, m.m. er det viktig å kartlegge hvorvidt denne overfører personopplysninger utenfor EU. I tillegg må en kartlegge hvorvidt en eventuell overførsel skjer i tråd med “dataminimeringsprinsippet”. Dette innebærer at overførselen ikke skal inneholde mer data enn nødvendig for å foreta behandlingen, altså, må det være en proporsjonalitet mellom overførselen og hvilket behov behandlingen skal dekke.

 

Dette er en nokså krevende jobb, men første steg vil være å gjennomgå avtaleverket med de enkelte leverandørene samt gjennomgå loggen for overførsel av data. Særlig i førstnevnte vil det fremgå hvorvidt personopplysninger faktisk overføres til tredjeland. En gjennomgang av loggen vil være en forsikring på om leverandøren faktisk opptrer i henhold til avtalen.

 

For det tilfelle at personopplysninger ikke overføres til tredjeland er det heller ikke behov for å gå gjennom de øvrige retningslinjene for selskapet.

 

Verifiser ditt grunnlag for overførsel

Dette punktet innebærer at du må forsikre deg at overføringsgrunnlaget som benyttes er tilstrekkelig for å ivareta samme vern som EU/EØS-borgere har innad i EU/EØS også ved overførsel til tredjeland. Tidligere var Privacy Shield nettopp dette grunnlaget frem til 16. juli 2020. Imidlertid ble det fastslått at dette ikke var tilstrekkelig. Etter GDPR artikkel 46 er det en rekke grunnlag som anses for å være tilstrekkelig for å sikre vernet, som blant annet standard kontraktsklausuler, bindende virksomhetsregler, m.m.

 

Det er imidlertid ikke tilstrekkelig å bare belage seg på at overføringsgrunnlaget er tilstrekkelig. En må i tillegg forsikre seg om at overføringsgrunnlaget faktisk gir EU/EØS-borgere det samme vernet for sine personopplysninger i tredjeland som de har innad i EU/EØS. 

 

Et annet alternativ er å undersøke hvorvidt det er fattet en avgjørelse av EU-kommisjonen som tilsier at tredjelandet som du skal overføre personopplysninger til har tilstrekkelig vern i tråd med GDPR og således er dette å anse som et tilstrekkelig grunnlag.

 

Vurder vernet i tredjeland

Du må videre vurdere om det er noe i tredjelandets lovgivning eller praksis som kan påvirke effektiviteten og vernet som overføringsgrunnlaget du benytter skal gi, i sammenheng med din spesifikke overføring. Din vurdering bør primært være fokusert på tredjelandslovgivning som er relevant for overføringen din og GDPR artikkel 46, samt om lovgivningen igjen kan undergrave beskyttelsesnivået. Offentlige myndigheters tilgang til data med det formål å overvåke bør vurderes nøye når lovgivningen som regulerer slik tilgang er tvetydig eller ikke offentlig tilgjengelig. 

 

I mangel av lovgivning som regulerer dette, bør du se på andre relevante og objektive faktorer, og ikke stole på subjektive faktorer som sannsynligheten for offentlige myndigheters tilgang til dine data på en måte som ikke er i tråd med EU-standarder.

 

Identifisere supplerende tiltak

Dette trinnet er bare nødvendig hvis vurderingen din viser at tredjelandslovgivningen påvirker effektiviteten og vernet av overføringsgrunnlaget du belager deg på eller du har til hensikt å belage deg på i forbindelse med overføringen.

 

Du vil være ansvarlig for avgjørelsene du tar, herunder om EU/EØS-borgere har tilstrekkelig vern i overførselen til tredjeland. Det kan også være behov for at du kombinerer flere supplerende tiltak. Du kan til slutt oppdage at ingen supplerende tiltak kan sikre tilsvarende beskyttelsesnivå for din spesifikke overføring. I slike tilfeller hvor ingen supplerende tiltak er tilstrekkelig, må du unngå, stanse eller avslutte overføringen for å unngå å kompromittere beskyttelsesnivået til personopplysningene.

 

Som eksempel på supplerende tiltak nevnes det tekniske tiltak som sterk kryptering av data, anonymisering av data m.m. Disse tiltakene kan ikke regnes for å være uttømmende og det må vurderes konkret for den spesifikke overførselen om supplerende tiltak er formålstjenlig å implementere.

 

Implementering av supplerende tiltak

Når du har tenkt å implementere tilleggstiltak i tillegg til, eksempelvis, standard kontraktsklausuler, er det viktig å forsikre deg om at klausuler som omhandler tiltakene som implementeres ikke, under noen som helst omstendigheter, fortrenger de rettighetene og forpliktelsene som følger av overføringsgrunnlaget eller under noen som helst omstendigheter minimerer vernet som skal nytes.

 

Jevnlig vurdere grunnlag og tiltak

Du må, avslutningsvis, jevnlig vurdere med passende intervaller vernet og implementerte tiltak til dataene du overfører til tredjeland. Og overvåke om det har skjedd eller vil være noen utvikling som kan påvirke det opprinnelige vernet. Prinsippet om ansvarlighet krever kontinuerlig årvåkenhet om beskyttelsesnivået for personopplysninger.

 

De gjennomgåtte retningslinjene er kun å regne som rådgivende, hvor det er viktig å vurdere spesifikke overføringer helt konkret. 

 

Ta kontakt med  john@arktislaw.no dersom du er i tvil om du opptrer i samsvar med retningslinjene.

 

Påmelding til Webinar fredag 18.12.2020:

 

https://www.linkedin.com/events/hardu-rigget-degtildenyepersonv6742458012578955264/about/

 

Vil du lære mer om juridiske og forretningsmessige spørsmål knyttet til digitalisering og teknologi?

Skriv inn din e-post for å få den nyeste innsikten og læringsmulighetene fra Arktis Law.
dots-primary

Recent posts

Arktis Law Italian Desk 4.0

PARTECIPA A GARE D’APPALTO IN NORVEGIA CON ITALIAN DESK 4.0

IL SERVIZIO ITALIAN DESK 4.0 VI PERMETTE DI ACCEDERE A BANDI E PARTECIPARE A  GARE D’APPALTO IN…

Les mer
John E. Nilsen

Er ditt finansforetak klar for nye retningsliner i skyen?

Finansforetak som bruker skytjenester, eller vurderer å ta i bruk skytjenester, må håndtere risiko slik Finanstilsynet forventer….

Les mer
fotballkontrakt

Profesjonell fotballspiller? Så mye lønn har du krav på

Når du skal signere proffkontrakt, bør du vurdere om stillingsbrøken er riktig. Les om konsekvensene og hvordan…

Les mer
Arktis Law

Behandler din bedrift data i USA? Da bør du lese dette.

Den 16. juli 2020 avsa EU-domstolen en ny og prinsipiell dom vedrørende overføring av personopplysninger fra EU…

Les mer

Standard IT-avtale: En jungel uten LAN-kabler

Standardavtaler skal spare deg penger, men er de gode nok til å holde deg utenfor konflikter? Her…

Les mer
Verdipapirhandelloven

Verdipapirhandel-loven: Strengere krav til kapitalforvaltere

Endringer i verdipapirhandel-loven krever mer informasjon av kapitalforvaltere. Mens endring i aksjeloven gjør det enklere for startups….

Les mer

Skal du ta ansvaret for skytjenesters nedetid?

Å ikke kjenne til spillereglene for skybaserte tjenester, kan bli en dyr affære for tjenesteleverandører. Last ned…

Les mer

Synes du det er vanskelig å komme i gang med GDPR?

Vi har en sjekkliste som kan hjelpe deg. Av Arktis Law Det er ikke lett å vite…

Les mer
Twentyfist Board

Endelig et verktøy for moderne styrearbeid

Twentyfirst Board hjelper styret ditt med formalitetene. Og gir dem krutt til å løfte selskapet ditt videre…

Les mer

Slik fikser du finansieringen

Finn balansen mellom å hente penger og bevare kontrollen i oppstartsselskapet ditt? Last ned vår guide!

Les mer