Av: Advokatfullmektig Malin Rapp Færder og partner/advokat Magnus Ødegaard, Bing Hodneland advokatselskap DA Bing Hodneland advokatselskap DA.
Personvernregler som GDPR, oppstiller generelle minstekrav som norske bedrifter må hensynta på egne nettsider. Det samme kravet gjelder når bedriften skal velge verktøy hvor persondata om egne ansatte, kunders kontaktpersoner eller sluttbrukere skal lagres i eller på andre måter behandles av.
Selv om regelverket gir økt beskyttelse for våre personopplysninger og dermed våre grunnleggende menneskerettigheter, er det ikke til å legge skjul på at GDPR skaper utfordringer for både store og små virksomheter – offentlige så vel som private.
Den største bekymringer det siste året knytter seg til leverandører utenfor EØS.
Det er overraskende enkelt å overføre personopplysninger om EØS-borgere ut av EØS. Et eksempel er at bedriften velger bruk av skytjenester fra Amazon, Microsoft eller Google. For eksempel bruker mange Google Analytics eller Facebook Connect på egen hjemmeside.
Et annet praktisk eksempel er at bedriftens norske IT-leverandør bruker datasentre i USA for lagring.
Et tredje eksempel er at bedriften har supportavtale med firma i India som gir personer i India fjerntilgang til bedriftens IT-systemer og dermed ansattes personopplysninger. Det er også aktuelt dersom bedriften skal ha ny dørlåssystem hvor ansatte filmes eller må bruke annen personlig ID for å komme inn i virksomhetens lokaler, og dørlåsleverandør lagrer kopi av slike videopptak eller personlig innlogging ved bruk av leverandører i USA.
Om en norsk virksomhet inngår en avtale med en leverandør innenfor EØS, må han også undersøke om leverandøren bruker underleverandører i land utenfor EØS, og i så fall i hvilke land. I disse tilfellene skal det dokumenteres at bruk av slike leverandører faktisk oppfyller minstekrav for behandling av EØS-borgeres personopplysninger.
Stadig forvirring om bruk av utenlandske leverandører
Forvirringen oppstod etter en avgjørelse av EU-domstolen avsagt den 16. juli 2020. Domstolen kom til (Schrems II-dommen) at avtalen mellom EU og USA kalt Privacy Shield ikke kunne brukes som lovlig overføringsgrunnlag. Domstolen konkluderte videre med at det heller ikke var tilstrekkelig å inngå databehandleravtale og en overføringsavtale kalt Standard Contractual Clauses (SCC) med leverandører i USA.
Siden de fleste virksomheter i Norge brukte standard skytjenester hvor data lagres i USA, eller hadde andre avtaler med produsenter i USA med fjerntilgang til persondata om norske sluttbrukere, har denne dommen gjort personvern til et praktisk viktig tema.
Dessverre finnes det ikke ferdig utarbeidede risikovurderinger som hver virksomhet kan vise til for å sikre at nye krav overholdes. Hver virksomhet må derfor selv dokumentere å ha risikovurdert leverandørens informasjonssikkerhet og databehandleravtale i tillegg til de ekstra kravene som overføring av personopplysninger til «tredjeland» (land utenfor EØS) medfører.
Frykt for store bøter
Virksomheter frykter brudd på personvernlovgivningen og de beryktede bøtene som kan medfølge. Amazon finn nylig fikk en bot tilsvarende 7,8 milliarder kroner. Bekymringen er derfor høyst rasjonell og forståelig, tatt i betraktning regelmessige vedtak om bøter.
Det er tydelige utfordringer knyttet til virksomheters ønske om å ha tilgang på visse typer teknologi og tjenester, og ønsket om samtidig å etterleve regelverket (være «GDPR compliant»).
Vi har samlet noen tips som kan gjøre det lettere å vurdere om en leverandør kan benyttes på en måte som er i tråd med GDPR.
Generelt anbefales det å lage en oversikt for hver enkelt leverandør som dokumenterer hvilke vurderinger og undersøkelser som etter GDPR er gjennomført. Nedenfor følger ytterligere 7 konkrete tips – en enkel huskeliste for hva man må vurdere for hver leverandør man vil dele personopplysninger med.
1. Finn informasjon om leverandørens behandling av personopplysninger – er datasikkerheten god nok?
Først og fremst er det viktig å innhente informasjon om hvordan leverandøren behandler personopplysninger, og spesielt i forbindelse med den aktuelle tjenesten. Dokumenter at informasjonssikkerheten som leverandøren tilbyr, er god nok med tanke på planlagt behandling av personopplysninger.
Beskriv hva som er planlagt bruk med tanke på behandling av personopplysninger, og noter hva slags personopplysninger som vil behandlers for hvem. Dersom det skal behandles helseopplysninger og andre særlige kategorier av personopplysninger, stilles det strengere krav til informasjonssikkerheten. Det stilles strengere krav til sårbare grupper som mindreårige og ansatte.
Skriv ned hvilke nettsider som er lest, og ta samtidig med positive opplysninger om sikkerhet, f.eks. to- eller flerfaktorautentisering, opplysninger om anonymisering, pseudonymisering og/eller kryptering. Det er også en fordel å forklare personvernvennlige innstillinger, f.eks. en innstilling som begrenser datalagring til datasentre innenfor EØS. Et annet eksempel er at bedriften bestemmer seg for kun å bruke IP Anonymization ved verktøyet Google Analytics for å unngå at personopplysninger behandles av Google.
2. Avklar behandlingsgrunnlag – har virksomheten og leverandøren lovlige grunnlag?
For å kunne behandle personopplysninger i samsvar med GDPR må virksomheter vurdere om det finnes et lovlig behandlingsgrunnlag som kan benyttes.
Det er seks grunnlag: Virksomheten kan behandle personopplysninger med hjemmel i lov (arbeidsmiljøloven, personopplysningsloven mv.) avtale (ansettelseskontrakt, kundeavtale mv.), samtykke, vitale interesser (for redde liv mv.), utøve offentlig myndighet (kommunal eller statlig virksomhet) eller ha legitim interesse (må ha utført balansetest og tilby de registrerte protestmulighet).
Det bør også noteres hva slags lovlige behandlingsgrunnlag leverandøren har. Dersom leverandøren kun skal behandle personopplysninger på vegne av norsk virksomhet som kunde, bør leverandøren være en databehandler som kun behandler persondata med hjemmel i «avtale». Slik avtale bør være databehandleravtalen.
Hvis leverandøren ikke anser seg som databehandler, bør det undersøkes om leverandøren godtar å være felles behandlingsansvarlig med kunden. Utenlandske leverandører som i fellesskap med norsk kunde bestemmer formål og middel for behandling av personopplysninger, må fortelle brukerne som personopplysningene gjelder at de er felles behandlingsansvarlige med kontaktinformasjon til hverandre for ev. spørsmål.
3. Vurder databehandleravtalen – oppfylles krav til innhold?
Dersom det er inngått eller skal inngås en databehandleravtale med leverandøren, må denne gjennomgås for å sikre at den oppfyller innholdskrav til slik avtale. Datatilsynet har utarbeidet gode veiledere både for når avtale må inngås og hva den bør inneholde.
Sjekk særlig om avtalen setter klare rammer for hva databehandleren kan gjøre med personopplysningene, og om den inneholder tilstrekkelig informasjon om leverandørens underleverandører og IT-sikkerhet.
4. Undersøk hvor leverandør med underleverandører behandler data – hvilke land?
Selv om mange leverandører opplyser om hvor de behandler personopplysninger, fremgår det ikke alltid tydelig av tilgjengelig informasjon om deres tjenester likevel innebærer overføring av personopplysninger til tredjeland. Eksempelvis forekommer det at bruk av en skytjeneste innebærer overføring/lagring i et tredjeland, eller at bruk av support for en tjeneste resulterer i overføring.
For å kunne vurdere om personopplysninger er tilstrekkelig beskyttet er det essensielt å ha oversikt over dette, samt hva som gjelder for leverandørens underleverandører (underdatabehandlere) for tjenesten.
For å få tilgang til denne informasjonen er det ofte behov for å stille spørsmål direkte til leverandøren. Et godt spørsmål er om det er riktig forstått at leverandøren med underleverandøren bare behandler data i land innenfor EU/EØS.
5. Finn passende overføringsgrunnlag – er tilleggskrav oppfylt?
Dersom bruk av en tjeneste innebærer overføring av personopplysninger til tredjeland, må man kartlegge hvilke land som er aktuelle. Noen få land er sikre, og EU-Kommisjonen har godkjent bl.a. Israel og privat virksomhet i Canada. Storbritannia kan også brukes inntil videre.
For USA og andre usikre tredjeland, kreves et gyldig overføringsgrunnlag. Sørg for å følge Datatilsynets veiledning og anbefalinger fra EUs personvernråd (EDPB) angående overføring til tredjeland.
En løsning er leverandører som har fått godkjent bindende virksomhetsregler (BCR). Slike leverandører kan internt i sitt konsern overføre data til usikre tredjeland.
En annen løsning er at leverandøren benytter standard personvernbestemmelser (SCCs) for slik overføring. Fra 4. juni 2021 kom det nye SCCs med endelig frist for å tas i bruk i september. Dette betyr at mange nå kan ha et behov for å oppdatere eksisterende avtaler.
Som følge av nevnte Schrems II-dommen er det ikke lenger tilstrekkelig å ha på plass et overføringsgrunnlag. Hver virksomhet må i tillegg foreta undersøkelser og risikovurdering av om beskyttelsesnivået er godt nok med tanke på hvilket land leverandøren er i.
EDPB oppdaterte 18. juni 2021 sin anbefaling fra november 2020 om ytterligere tiltak som må iverksettes for å sikre tilstrekkelig beskyttelse. Skriv ned hva slags ytterligere tiltak som leverandøren tilbyr eller lover, f.eks. er det vanlig med «Data Processing Addendum» fra leverandør hvor slike tiltak orienteres om.
6. Vurder personvernrisikoen for de registrerte - trengs en DPIA?
For visse typer behandlinger av personopplysninger kreves det en personvernkonsekvensanalyse (DPIA). Den må være gjennomført før behandlingen starter, og det bør derfor alltid undersøkes om den aktuelle behandlingen krever en slik vurdering.
Dokumenter derfor at man har vurdert om DPIA må utføres. F.eks. vil bruk av en tjeneste med kunstig intelligens som behandler særlig sårbar gruppe registrerte som ansatte eller mindreårige innebære plikt til å utføre en DPIA.
Dersom utført DPIA ikke konkluderer med at risikoreduserende tiltak vil redusere risikoen ned fra høy for de registrerte, må man gjennomføre møte med Datatilsynet for å vurdere tjenesten nærmere eller for å være på den sikre siden - ikke ta tjenesten i bruk.
7. Kom til bunns i spørsmålene – spør leverandøren om avvik
I visse tilfeller kan det være krevende å finne god informasjon på nettsider eller i leverandørens kontraktsvilkår. Vi anbefaler at man basert på funn fra 1 – 6 samler opp avvik, dvs. hva som ikke er godt nok dokumentert for at kunden skal inngå avtalen med leverandøren, og sender dette samlet til leverandøren.
De fleste leverandører blir glade for å få spørsmål ettersom positive svar kan bety nye kunder og økt fortjeneste. Svar fra leverandører kan bli ekstra vedlegg til virksomhetens interne dokumentasjon som viser at minstekrav i GDPR er oppfylt.
Flere avklaringer?
For å unngå gebyrer slik som Amazon og flere andre har fått, anbefaler vi at man foretar risikovurderinger i forkant som dokumenter hva som er vurdert og gjort.
Artikkelen er skrevet av advokatfullmektig Malin Rapp Færder og partner/advokat Magnus Ødegaard, Bing Hodneland advokatselskap DA.
