EDPBs seks steg - Ansatt

EDPBs seks steg ved vurdering av overføring til tredjeland (TIA)

EDPBs seks steg ved vurdering av overføring til tredjeland (TIA)

Du skal gå igjennom Personvernrådets (EDPB) seks steg for å få gjort en tilstrekkelig vurdering av om du bør overføre personopplysninger til tredjeland utenfor EU/EØS og land som ikke er godkjente av EU-kommisjonen, også kalt Transfer Impact Assessment (TIA).
Publisert
Sist oppdatert

Du må aldri hoppe over steg 3 og 4 som gjelder vurdering av beskyttelsesnivå for overføringen og mulige tiltak for å høyne beskyttelsesnivået.

Alle vurderinger skal kunne dokumenteres og skal arkiveres i P360, sammen med annen personvernrelatert dokumentasjon knyttet til behandlingen/arbeidsprosessen/tjenesten/systemet, se punkt om Dokumentasjon.

Du kan bruke skjema Transfer Impact Assessment (TIA) for å gjennomføre pålagt vurdering.

  • Steg 1: Kartlegg overføringer – skal kunne bruke protokoll art. 30 i beskrivelsen

    • Få oversikt over overføringer, og vurder om det er snakk om reelle overføringer

    • Bruk eksisterende protokoller (se punkt om oversikt over behandling av personopplysninger), leverandøroversikter og databehandleravtaler

    • Beskriv overføringen - Hvilke (typer) data overføres, og hvordan skjer dataflyten?

    • Sjekk bruk av underleverandører, fjernaksess i forbindelse med support, overføring i forbindelse med tilleggstjenester og moduler osv. (spørre leverandør).

    • Samarbeid med leverandør der man ber om en redegjørelse/bekreftelse og oversikt vedrørende underleverandører og lokasjoner/overføringer

    Nye retningslinjer fra EDPB (Personvernrådet) skal klargjøre hva som er en overføring til tredjeland (datatilsynet.no).

    Ved henvendelse til leverandør/databehandler kan du bruke skjemaet "Additional questions for service providers (including their subcontractors)".

    For å få bekreftet eller avkreftet om leverandøren/databehandler er omfattet av de amerikanske overvåkningslovene kan du bruke skjemaet "Request to an EU provider with US ties (case by case analysis)".

  • Steg 2: Hvilket overføringsgrunnlag blir brukt og skal/kan brukes?

    • Er tredjeland godkjent av EU-kommisjonen? Land godkjent av EU kommisjonen (datatilsynet.no) regnes å ha et tilsvarende sikkerhetsnivå som land innenfor EU/EØS.
    • Er overføringen omfattet av nødvendige garantier (art. 46)? Det innebærer inngåelse av EU sin standardkontrakt (SCC) og at du i tillegg gjør nødvendige tiltak for å sikre at beskyttelsesnivået tilsvarer beskyttelsesnivået innenfor EU/EØS.
    • Unntak for "særlige situasjoner" (art. 49 (1)) - samtykke, avtale, viktige allmenne interesser.
    • Unntak der ingen andre overføringsgrunnlag er aktuelle (art. 49 (2)). Strenge krav.

    Overføringsreglene gjelder ikke på samme måte når man har en leverandør fra USA, men all databehandling/tilgang skal skje i EU/EØS. Du må likevel gjøre det vanlige konkrete vurderingene, sikkerhetstiltak/type opplysninger/om databehandler kan følge regelverket, gjøre risikovurdering osv.

  • Steg 3: Gir overføringsmekanismen effektivt vern i lys av regler og praksis i tredjelandet?

    Gir overføringsgrunnlaget et tilstrekkelig beskyttelsesnivå for overføringen?

    Utgangspunkt: Er det regler eller praksis i mottakerland som er uforenlig med SCC/GDPR og som tilsier en risiko som vil påvirke de registrertes rettigheter (også menneskerettigheter), f.eks. offentlige myndigheters tilgang til data (FISA 702. E.O 12333 vs. Slaud Act - USA)? Det som da må vurderes er hvilke konsekvenser disse reglene og praksisene har for den overføringen du skal foreta. Om opplysningene ellers er offentlig tilgjengelige kan ha betydning for vurderingen. Dette bør i enkelte tilfeller tas opp med mottaker (punkt 30 i Personvernrådets anbefaling). Dokumentasjon bør være troverdig/holde vann.

    Du kan være mer konkret og spørre om lovgivningen får anvendelse på denne konkrete overføringen (formål, mottaker, sektor, type data, format) i stedet for en bred landvurdering.

    Vurderingen skal først og fremst baseres på objektive faktorer. Dette innebærer at det ikke skal tas i betraktning sannsynlighet for at offentlige myndigheter søker tilgang i de aktuelle dataene (punkt 45). Det er primært "muligheten" som skal undersøkes. EU har imidlertid åpnet litt mer opp for at man kan trekke inn slike vurderinger også. Det er uansett å anbefale at det innføres ytterligere sikringstiltak ved alle overføringer til land som USA, Russland og Kina.

    Datatilsynet har satt opp et par eksempelsaker (datatilsynet.no). Sikt: "Ikke grunn til å tro at problematisk lovgivning får anvendelse i praksis (på den aktuelle overføringen)." Overvåkningsorganer i tredjelandet kan tenkes å ikke være i stand til å hente ut personopplysninger (ut over det som er nødvendig og proporsjonalt). Det kan være fordi det ikke er teknisk mulig slik overvåkningsorganene opererer, eller ut fra måten lovene praktiseres på.

    Relevante informasjonsskilder

    • Aktørbildet/leverandørkjeden, formål med behandlingen, sektor, type personopplysninger, lagring eller kun tilgang, dataformat (direkte identifiserende, kryptert, pseudonymisert og sannsynligheten for videreføring til tredjeland).
    • Aktørenes egne dokumenterte erfaringer som er troverdige. Aktøren/du kan dokumentere at de aktuelle personopplysningene ikke er det aktuelt lovverk blir anvendt på. Datatilsynet krever at kilden er pålitelig, samt at aktuell kilde kan verifiseres av andre kilder.
    • Sammenlign GDPR opp mot forholdene i tredjelandet, - rettsstat/personvernlovgivning/tilsynsmyndigheter/internasjonale traktater.
    • Rettspraksis fra f.eks. EU-domstolen/offisielle rapporter om lovgivning
    • Rettskilder i tredjelandet.
    • Informasjon fra frivillige organisasjoner.
    • Annen dokumentert informasjon (rapporter) om myndighetspraksis/statistikk
    • Ekspertuttalelser

    Dersom myndigheter i tredjeland har tilgang via lovgivning (lover som gir myndighet), rettspraksis (en domsavgjørelse) eller ved at man har erfaring med at myndighetene i det aktuelle landet ikke respekterer menneskerettigheter, vil man i utgangspunktet ikke regne sikkerhetsnivået som tilstrekkelig. Det må da vurderes om tredjeland sine overvåkningslover eller domsavgjørelser i praksis vil anvendes på den konkrete overføringen. Overføringen vil da være ulovlig hvis man ikke får hindret myndighetenes tilgang med tekniske tiltak.

    Eksempler på momenter som har betydning i vurderingen: Dreier det seg om supporttjenester, hvilken mulighet har et morsselskap til å instruere et datterselskap til å utlevere, og om databehandler i praksis ikke kan følge behandlingsansvarlige sine instrukser og det da er uforenlig med formålene?

    Vurderingen kan baseres på Personvernrådets (EDPB) anbefalinger om «European Essential Guarantees for surveillance measures» (02/2020)(edpb.europa.eu, på engelsk).

    Dette er et svært vanskelig punkt å vurdere for en virksomhet med begrensede ressurser. Det er vanskelig å se for seg at kravene kan oppfylles uten at en innhenter juridisk bistand fra mottakerlandet.

    I de fleste tilfeller vil det dermed være sannsynlig at man ikke har grunnlag for å gjøre en slik vurdering. Personvernombudets anbefaling er derfor at man antar at det er snakk om høyeste risikonivå, og treffer tiltak deretter. Dette vil trolig være mindre ressurskrevende enn å dokumentere at tiltak ikke er nødvendig.

    Dersom det ikke er mulig å dokumentere at det ikke foreligger risiko i mottakerlandet, gå videre til neste punkt.

  • Steg 4: Tekniske, organisatoriske og kontraktuelle tilleggstiltak

    Tiltak kan være kontraktuelle, tekniske eller organisatoriske (Personvernrådets (EDPB) anbefaling punkt 47), men kontraktuelle eller organisatoriske tiltak vil generelt ikke være tilstrekkelig til å unngå tilgang for offentlige myndigheter. Tekniske tiltak er derfor avgjørende (Punkt 48).

    Ytterligere tiltak (må tilpasses overføringen, tredjelandet og ditt overføringsgrunnlag «case by case») skal

    • gi et «tilstrekkelig beskyttelsesnivå»

    • supplere overføringsgrunnlaget i steg 2) og «mangler» funnet i steg 3.

    Tiltak må tilpasses overføringen, tredjelandet og ditt overføringsgrunnlag (case-by-case).

    Kontraktuelle tiltak

    Kontraktuelle tiltak kan være forpliktelser knyttet til åpenhet, håndtering av forespørsler eller de registrertes rettigheter (f.eks. sikre deres rett til erstatning).

    Organisatoriske tiltak

    Organisatoriske tiltak kan omfatte internkontroll, tilganger, rutiner, standarder/sertifiseringer.

    Tekniske tiltak

    Må vurdere: (punkt 49)

    • Dataformat (eks. kryptert, pseudonymisert)

    • Dataenes natur (eks. grad av sensitivitet, omfang, etc.)

    • Kompleksitet av dataflyt

    • Sannsynlighet for videre overføring (transiting)

    Listen er ikke uttømmende.

    Tiltak må sikre at dersom offentlige myndigheter får tilgang, skal de ikke være i stand til å koble opplysninger til enkeltpersoner (punkt 74).

    Eksempler på aktuelle tiltak:

    • Kryptering (punkt 79) -mest effektiv i forhold til angrep fra andre og ikke "din" leverandør.

    • Back-up og lignende, dersom data ikke er tilgjengelig i klartekst - må ha sterk kryptering med egne nøkler.

    • Pseudonymisering (punkt 80) – NB! Vanskelig! Kun behandlingsansvarlig innenfor EU må ha tilgang på koblingsnøkkel

    • Kryptering ved overføring (punkt 84)

    • Kartlegging av hvorvidt mottaker er spesifikt beskyttet mot innsyn av det landets lovverk; eksempelvis helsepersonell/taushetsplikt (punkt 85).

    • Personopplysninger behandles stykkevis hos ulike aktører: hver aktør har kun tilgang på deler av datamaterialet, og kun behandlingsansvarlig (innenfor EU/EØS) kan slå sammen dataene.

    Listen er ikke uttømmende.

    EDPB fremholder at det ikke er mulig med effektive tiltak ved bruk av skyløsning med utstrakt tilgang til data for databehandler; dvs. data tilgjengelig i klartekst (punkt 88). Her må du i så fall vurdere konkret mht. om lovgivningen i praksis vil anvendes på overføringen (steg 3).

    Det er også problematisk ved overføring for mottakers egne forretningsformål, inkl. fjernaksess og der tilgang i klartekst er nødvendig. Her må du vurdere konkret mht. om lovgivningen i praksis vil anvendes på overføringen (steg 3).

    Kommentar fra Datatilsynet vedrørende "fjernaksess":

    "Datatilsynet har frem til nå lagt til grunn at overføringsbegrepet også dekker fjernaksess. EDPBs oppdaterte anbefalinger fremholder imidlertid at ytterligere tiltak ikke er påkrevd, dersom tredjestaters overvåkningslover i praksis ikke blir anvendt på en bestemt behandling. Hvis fjernaksess er innrettet på en slik måte at tredjestatens overvåkingsorganer ikke er i stand til å hente ut personopplysninger (ut over det som er nødvendig og proporsjonalt), enten fordi det ikke er teknisk mulig, slik overvåkningsorganene opererer, eller ut fra måten lovene praktiseres på, tilsier dette at det ikke er nødvendig med ytterligere tiltak, selv om det skulle være snakk om en overføring av personopplysninger til en tredjestat med utilfredsstillende beskyttelsesnivå. Vurderingstemaet er annerledes, men resultatet kan bli det samme – avhengig av en konkret vurdering".

    Det europeiske personvernrådet (EDPB) har i strategien for overholdelse av Schrems II-dommen fra EDPB (edps.europa.eu. på engelsk) jobbet med å utrede hva "ytterligere tiltak" innebærer. EDPB foreslår i Strategien både en kortsiktig (kartlegging, rapportering og nødtiltak) og en mellomlang strategi (Transfer Impact Assessment). Strategien inneholder en del praktiske tips.

    ​​​​​​Se også Datatilsynet sin nettside om overføring av personopplysninger til land utenfor EU/EØS (datatilsynet.no).

    Se markedsplassen for skytjenester (anskaffelser.no). Den skal gjøre det enkelt for offentlige virksomheter å anskaffe sikre, lovlige og kostnadseffektive skytjenester.

  • Steg 5: Formelle prosessuelle tiltak

    Hvilke tiltak som er aktuelle må vurderes konkret – det er OsloMet og databehandler/ekstern behandlingsansvarlig sitt ansvar å vurdere om beskyttelsesnivået er i tråd med GDPR og kan overholdes i praksis.

    • Påse at andre bestemmelser, der det inngås en SCC, ikke kommer i konflikt med SCC.

    • Hvis endringer i SCC må man søke godkjennelse fra Datatilsynet.

    Når alle nødvendige vurderinger er gjort (også vurderinger iht. prinsippene i GDPR art. 5), tiltak satt opp og det foreligger enighet om kontraktsvilkår, kan SCC-en signeres.

  • Steg 6: Følg med og gjør nye vurderinger ved endringer

    Du bør gjøre evalueringer med passende mellomrom, eksempelvis hvert eller annethvert år. OsloMet bør derfor ha gode rutiner for å følge opp og å innstille eller avslutte en overføring. Det kan ha skjedd endringer i tredjelandet som fører til at tiltakene som er etablert ikke lengre er like effektive,

    Endringer knyttet til leverandøren og OsloMet

    • Ha kontroll på nye overføringer ved at leverandøren endrer tjenestene.

    • Enkelte leverandører forutsetter at OsloMet abonnerer på varsler og selv følger med på endring av underleverandører.

    • Ha kontroll på nye overføringer knyttet til at OsloMet tar i bruk nye tjenester

    • Behov for forvaltningsregime for kontroll på egne tjenester og overføring: unngå utilsiktede overføringer.

    • Følg med på endringer i avtalevilkår, løsninger og praksis fra leverandørene, samt endringer i landet det overføres til (det skal foregå en dialog mellom EU og USA om en ny og forbedret Privacy Shield).

    • Følg med på endringer i veiledning og oppfølging fra EDPB og Datatilsynet.

    • Forespør og gjennomgå revisjonsrapporter, utleveringsstatistikk og leverandørens prosedyrer for håndtering av forespørsler fra tredjelands myndigheter.

  • Ressurs