EDPBs seks steg - Ansatt

EDPBs seks steg ved vurdering av overføring til tredjeland

EDPBs seks steg ved vurdering av overføring til tredjeland

Du skal gå igjennom Personvernrådets (EDPB) seks steg for å få gjort en tilstrekkelig vurdering av om du bør overføre personopplysninger til tredjeland utenfor EU/EØS og land som ikke er godkjente av EU-kommisjonen.

Du må aldri hoppe over steg 3 og 4 som gjelder vurdering av beskyttelsesnivå for overføringen og mulige tiltak for å høyne beskyttelsesnivået.

Alle vurderinger skal kunne dokumenteres og skal arkiveres i P360, sammen med annen personvernrelatert dokumentasjon knyttet til behandlingen/arbeidsprosessen/tjenesten/systemet.

  • Steg 1: Kartlegg overføringer – skal kunne bruke protokoll art. 30 i beskrivelsen

    • Få oversikt over overføringer, og vurder om det er snakk om reelle overføringer

    • Bruk eksisterende protokoller (se punkt om oversikt over behandling av personopplysninger), leverandøroversikter og databehandleravtaler

    • Beskriv overføringen - Hvilke (typer) data overføres, og hvordan skjer dataflyten?

    • Sjekk bruk av underleverandører, fjernaksess ifbm. support, overføring ifbm. tilleggstjenester og moduler osv. (spørre leverandør).

    • Samarbeid med leverandør der man ber om en redegjørelse/bekreftelse og oversikt vedrørende underleverandører og lokasjoner/overføringer

    Ved henvendelse til leverandør/databehandler kan du bruke skjemaet "Additional questions for service providers (including their subcontractors)".

    For å få bekreftet eller avkreftet om leverandøren/databehandler er omfattet av de amerikanske overvåkningslovene kan du bruke skjemaet "Request to an EU provider with US ties (case by case analysis)".

  • Steg 2: Hvilket overføringsgrunnlag blir brukt og skal/kan brukes?

    • Er tredjeland godkjent av EU-kommisjonen? Land godkjent av EU kommisjonen (datatilsynet.no) (art. 45) regnes å ha et tilsvarende sikkerhetsnivå som land innenfor EU/EØS.
    • Er overføringen omfattet av nødvendige garantier (art. 46)? Det innebærer inngåelse av EU sin standardkontrakt (SCC) og at du i tillegg gjør nødvendige tiltak for å sikre at beskyttelsesnivået tilsvarer beskyttelsesnivået innenfor EU/EØS.
    • Unntak for "særlige situasjoner" (art. 49 (1)) - samtykke, avtale, viktige allmenne interesser.
    • Unntak der ingen andre overføringsgrunnlag er aktuelle (art. 49 (2)). Strenge krav.

    Overføringsreglene gjelder ikke på samme måte når man har en leverandør fra USA, men all databehandling/tilgang skal skje i EU/EØS. Du må likevel gjøre det vanlige konkrete vurderingene, sikkerhetstiltak/type opplysninger/om databehandler kan følge regelverket, gjøre risikovurdering osv.

  • Steg 3: Gir overføringsmekanismen effektivt vern i lys av regler og praksis i tredjelandet?

    Gir overføringsgrunnlaget et tilstrekkelig beskyttelsesnivå for overføringen?

    Utgangspunkt: Er det regler eller praksis i mottakerland som som er uforenlig med SCC/GDPR? (tilsier en risiko som vil påvirke de registrertes rettigheter (også menneskerettigheter), f.eks. offentlige myndigheters tilgang til data (FISA 702. E.O 12333 vs. Slaud Act - USA). Dette bør i enkelte tilfeller tas opp med mottaker (punkt 30 i Personvernrådets anbefaling) og bør være dokumentasjon som er troverdig/holder vann.

    Du kan være mer konkret og spørre om lovgivningen får anvendelse på denne konkrete overføringen (formål, mottaker, sektor, type data, format) i stedet for en bred landvurdering.

    Vurderingen skal først og fremst baseres på objektive faktorer. Dette innebærer at det ikke skal tas i betraktning sannsynlighet for at offentlige myndigheter søker tilgang i de aktuelle dataene (punkt 45). EU har imidlertid åpnet litt mer opp for at man kan trekke inn slike vurderinger også. Det er uansett å anbefale at det innføres ytterligere sikringstiltak ved alle overføringer til land som USA, Russland og Kina.

    Relevante informasjonsskilder

    • Aktørbildet/leverandørkjeden, formål med behandlingen, sektor, type personopplysninger, lagring eller kun tilgang, dataformat (direkte identifiserende, kryptert, pseudonymisert og sannsynligheten for videreføring til tredjeland).
    • Aktørenes egne dokumenterte erfaringer som er troverdige.
    • Sammenlign GDPR opp mot forholdene i tredjelandet, - rettsstat/personvernlovgivning/tilsynsmyndigheter/internasjonale traktater.
    • Rettspraksis fra f.eks. EU-domstolen/offisielle rapporter om lovgivning
    • Rettskilder i tredjelandet.
    • Informasjon fra frivillige organisasjoner.
    • Annen dokumentert informasjon (rapporter) om myndighetspraksis/statistikk
    • Ekspertuttalelser

    Vurderingen kan baseres på Personvernrådets (EDPB) anbefalinger om «European Essential Guarantees for surveillance measures» (02/2020)(edpb.europa.eu, på engelsk)

    Dette er et svært vanskelig punkt å vurdere for en virksomhet med begrensede ressurser. Det er vanskelig å se for seg at kravene kan oppfylles uten at en innhenter juridisk bistand fra mottakerlandet.

    I de fleste tilfeller vil det dermed være sannsynlig at man ikke har grunnlag for å gjøre en slik vurdering. Personvernombudets anbefaling er derfor at man antar at det er snakk om høyeste risikonivå, og treffer tiltak deretter. Dette vil trolig være mindre ressurskrevende enn å dokumentere at tiltak ikke er nødvendig.

    Dersom det ikke er mulig å dokumentere at det ikke foreligger risiko i mottakerlandet, gå videre til neste punkt.

  • Steg 4: Tekniske, organisatoriske og kontraktuelle tilleggstiltak

    Tiltak kan være kontraktuelle, tekniske eller organisatoriske (Personvernrådets (EDPB) anbefaling punkt 47), men kontraktuelle eller organisatoriske tiltak vil generelt ikke være tilstrekkelig til å unngå tilgang for offentlige myndigheter. Tekniske tiltak er derfor avgjørende (Punkt 48).

    Ytterligere tiltak (må tilpasses overføringen, tredjelandet og ditt overføringsgrunnlag «case by case») skal

    • gi et «tilstrekkelig beskyttelsesnivå»

    • supplere overføringsgrunnlaget i steg 2) og «mangler» funnet i steg 3.

    Tiltak må tilpasses overføringen, tredjelandet og ditt overføringsgrunnlag (case-by-case).

    Kontraktuelle tiltak

    Kontraktuelle tiltak kan være forpliktelser knyttet til åpenhet, håndtering av forespørsler eller de registrertes rettigheter (f.eks. sikre deres rett til erstatning).

    Organisatoriske tiltak

    Organisatoriske tiltak kan omfatte internkontroll, tilganger, rutiner, standarder/sertifiseringer.

    Tekniske tiltak

    Må vurdere: (punkt 49)

    • Dataformat (eks. kryptert, pseudonymisert)

    • Dataenes natur (eks. grad av sensitivitet, omfang, etc.)

    • Kompleksitet av dataflyt

    • Sannsynlighet for videre overføring (transiting)

    Listen er ikke uttømmende.

    Tiltak må sikre at dersom offentlige myndigheter får tilgang, skal de ikke være i stand til å koble opplysninger til enkeltpersoner (punkt 74).

    Eksempler på aktuelle tiltak:

    • Kryptering (punkt 79) -mest effektiv i forhold til angrep fra andre og ikke "din" leverandør.

    • Back-up og lignende, dersom data ikke er tilgjengelig i klartekst - må ha sterk kryptering med egne nøkler.

    • Pseudonymisering (punkt 80) – NB! Vanskelig! Kun behandlingsansvarlig innenfor EU må ha tilgang på koblingsnøkkel

    • Kryptering ved overføring (punkt 84)

    • Kartlegging av hvorvidt mottaker er spesifikt beskyttet mot innsyn av det landets lovverk; eksempelvis helsepersonell/taushetsplikt (punkt 85).

    • Personopplysninger behandles stykkevis hos ulike aktører: hver aktør har kun tilgang på deler av datamaterialet, og kun behandlingsansvarlig (innenfor EU/EØS) kan slå sammen dataene.

    Listen er ikke uttømmende.

    EDPB fremholder at er det ikke er mulig med effektive tiltak ved bruk av skyløsning med utstrakt tilgang til data for databehandler; dvs. data tilgjengelig i klartekst (punkt 88). Her må du i så fall vurdere konkret mht. om lovgivningen i praksis vil anvendes på overføringen (steg 3).

    Det er også problematisk ved overføring for mottakers egne forretningsformål, inkl. fjernaksess og tilgang i klartekst er nødvendig. Her må du vurdere konkret mht. om lovgivningen i praksis vil anvendes på overføringen (steg 3).

    Det europeiske personvernrådet (EDPB) har i Strategien for overholdelse av Schrems II-dommen fra EDPB (engelsk) jobbet med å utrede hva "ytterligere tiltak" innebærer. EDPB foreslår i Strategien både en kortsiktig (kartlegging, rapportering og nødtiltak) og en mellomlang strategi (Transfer Impact Assessment). Strategien inneholder en del praktiske tips.

    ​​​​​​Se også Datatilsynet nettside om spørsmål og svar om overføring av personopplysninger til land utenfor EU/EØS.

    Se Markedsplass for skytjenester (markedsplassen,anskaffelser.no). Den skal gjøre det enkelt for offentlige virksomheter å anskaffe sikre, lovlige og kostnadseffektive skytjenester.

  • Steg 5: Formelle prosessuelle tiltak

    Hvilke tiltak som er aktuelle må vurderes konkret – det er OsloMet og databehandler/ekstern behandlingsansvarlig sitt ansvar å vurdere om beskyttelsesnivået er i tråd med GDPR og kan overholdes i praksis.

    • Påse at andre bestemmelser, der det inngås en SCC, ikke kommer i konflikt med SCC.

    • Hvis endringer i SCC må man søke godkjennelse fra Datatilsynet.

    Når alle nødvendige vurderinger er gjort (også vurderinger iht. prinsippene i GDPR art. 5), tiltak satt opp og det foreligger enighet om kontraktsvilkår, kan SCC-en signeres.

  • Steg 6: Følg med og gjør nye vurderinger ved endringer

    Du bør gjøre evalueringer med passende mellomrom, eksempelvis hvert eller annethvert år. OsloMet bør derfor ha gode rutiner for å følge opp og å innstille eller avslutte en overføring. Det kan ha skjedd endringer i tredjelandet som fører til at tiltakene som er etablert ikke lengre er like effektive,

    Endringer knyttet til leverandøren og OsloMet

    • Ha kontroll på nye overføringer ved at leverandøren endrer tjenestene.

    • Enkelte leverandører forutsetter at OsloMet abonnerer på varsler og selv følger med på endring av underleverandører.

    • Ha kontroll på nye overføringer knyttet til at OsloMet tar i bruk nye tjenester

    • Behov for forvaltningsregime for kontroll på egne tjenester og overføring: unngå utilsiktede overføringer.

    • Følg med på endringer i avtalevilkår, løsninger og praksis fra leverandørene, samt endringer i landet det overføres til (det skal foregå en dialog mellom EU og USA om en ny og forbedret Privacy Shield).

    • Følg med på endringer i veiledning og oppfølging fra EDPB og Datatilsynet.

    • Forespør og gjennomgå revisjonsrapporter, utleveringsstatistikk og leverandørens prosedyrer for håndtering av forespørsler fra tredjelands myndigheter.

  • Ressurs