GDPR-bloggen

Schrems II stiller krav til kontroll av verdikjeden

Skrevet av Iconfirm | 07. september, 2021

Er du leverandør av løsninger hvor du, eller noen av dine underleverandører, overfører personopplysninger mellom EU/EØS og USA? Da må du være forberedt på at dine kunder nå vil vurdere om de kan fortsette å bruke deg og dine underleverandører, og om det er mulig å få på plass et alternativt rettslig grunnlag for overføring.

 

Schrems II-dommen

EU-domstolen avsa 16. juli 2020 en prinsipielt viktig dom om overføring av personopplysninger mellom EU/EØS og USA, også kalt Schrems II-dommen. Dommen konkluderte med at Privacy Shield som overføringsgrunnlag er ugyldig mellom virksomheter i EU/EØS og USA. EU-domstolen begrunner avgjørelsen med at Privacy Shield ikke ga gode nok rettsikkerhetsgarantier mot amerikanske myndigheter sine overvåkninglover.

Andre overføringsgrunnlag til USA/tredjeland berøres også av dommen. Det betyr at selv om EU-kommisjonens oppdaterte standardbestemmelser (Standard Contractual Clauses - SCC) er tillatt, så må det gjennomføres en vurdering av om beskyttelsesnivået er på nivå med GDPR og hvilke supplerende tiltak som må gjennomføres. Dette må gjøres fra sak til sak.

Som databehandler må du være forberedt på å kunne dokumentere om det i løsningene skjer en overføring av personopplysninger til tredjeland, utenfor EU/EØS, hvilke overføringsgrunnlag som ligger til grunn og hvordan det det høye beskyttelsesnivået vi har i EU/EØS vil opprettholdes i praksis. Dette vil også omfatte eventuelle underdatabehandlere som dere benytter.

 

Tekniske og organisatoriske beskyttelsestiltak

Hvordan kan kravet til det høye beskyttelsesnivået vi har i EU/EØS opprettholdes i praksis? I tillegg til det kontraktuelle skal det også gjennomføres tekniske og organisatoriske beskyttelsestiltak.

Tekniske tiltak

Tekniske beskyttelsestiltak er nødvendig i alle tilfeller og EDPB (European Data Protection Board) peker på flere tekniske sikkerhetstiltak som kan benyttes. Blant disse finner vi kryptering, anonymisering, pseudonymisering og splittet behandling.

  • Ved kryptering vektlegger EDPB at partene må implementere en kryptering hvor dataeksportøren har kontroll over krypteringsnøkkelen.
  • Anonymisering medfører at personopplysninger ikke kan kobles med en enkeltperson og pseudonymisering sikrer at dataeksportøren er den eneste som kan reidentifisere personopplysninger.
  • Å splitte behandlingen mellom ulike databehandlere sikrer at myndigheter ikke har tilgang til komplette datasett ved begjæring om utlevering.

Et godt eksempel på effektivt teknisk tiltak er når man med en enkel integrasjon mellom fagsystemer sikrer at en leverandør behandler personidentifikatorer i EU/EØS mens en annen kan behandler transaksjonene i et tredjeland. Dette gir en god kombinasjon av pseudonymisering og splittet behandling.

Få vår guide: Schrems II - Supplerende tiltak i praksis

 

Organisatoriske tiltak

Organisatoriske beskyttelsestiltak reguleres i databehandleravtalen. Eksempler på tiltak du kan pålegges som dataimportør:

  • Ved jevnlige intervaller å kunne vise frem dokumentasjon overfor behandlingsansvarlige på implementerte tiltak og effekten av disse .
  • Varsle ved forespørsel om innsyn eller utlevering av data til lokale myndigheter.
  • Søke å motsette seg utleveringen med alle mulige rettslige virkemidler for å forhindre utleveringen, eller minimere hva som utleveres av personopplysninger.
  • At personopplysninger ikke skal videreføres eller viderebehandles uten at underdatabehandler blir pålagt samme krav til organisatoriske tiltak.

 

Har du kontroll på behandlingen av personopplysninger i alle ledd?

Som databehandler er du ansvarlig for at dine underdatabehandlere, og deres eventuelle underdatabehandlere igjen, følger de samme kravene til databehandling som du selv har overfor behandlingsansvarlig. Dette krever at du har full kontroll på hele verdikjeden og både kan dokumentere at det foreligger gyldige overføringsgrunnlag samt at beskyttelsesnivået for behandlingen av personopplysninger opprettholdes - i alle ledd.

  • Var overføringsgrunnlaget basert på på Privacy Shield må det etableres et gyldig overføringsgrunnlag til tredjeland og du må kunne vise til hvordan dere løser dette.
  • Er overføringsgrunnlaget basert på EU-kommisjonens standardbestemmelser (SCC), må du kunne dokumentere om det finnes lover som gir myndighetene i tredjeland uforholdsmessig adgang til dataene, samt en vurdering av hvordan den registrertes rettigheter vil kunne ivaretas i praksis med samme beskyttelsesnivå som i EU/EØS.

Mange produsenter av skyløsninger jobber med tilpasninger får å imøtekomme GDPR og utfordringene som Schrems II-dommen peker på. Men det vil ta tid før produsentene har på plass datasentere i Europa og andre relevante tiltak. Kundene kan ikke vente på at dette skal skje og krever løsninger nå. 

 

Iconfirm kan være løsningen

Iconfirm har laget en løsning som gjør at du allerede i dag kan etterleve EDPBs retningslinjer slik at skyløsningene fortsatt kan benyttes lovlig for behandling av personopplysninger.

Iconfirm Schrems II-løsning har en sikker plattform for behandling av personopplysninger som er godt tilrettelagt for integrasjon med andre skyløsninger. En av kjernefunksjonene i løsningen er muligheten til å styre behandlingen av personidentifikatorer. Ved å benytte dette kan du effektivt etablere pseudonymisering og splittet behandling.

Her kan du lese mer om Iconfirm Schrems II løsning