Denne teksten er oversatt fra vår svenske blogg: «Personaldata i molnet – vad gäller?»
For snart to år siden ugyldiggjorde EU-domstolen «Privacy Shield», en avtale som gjorde det mulig å overføre personlig informasjon mellom EU og USA. Samtidig uttalte den at «Standard Contracts» (SCC-er) krever ytterligere tilpasninger for at overføring av data til USA skal kunne tillates. Dersom du ønsker å bruke skybaserte HR-systemer, på en lovlig måte, må du gjennomføre en grundigere analyse og følge stegene som vi går gjennom i dette blogginnlegget.
Schrems II – nådestøtet for Privacy Shield og veien videre
Allerede da Privacy Shield trådte i kraft var europeiske databeskyttelsesaktivister i gang med å utfordre lovligheten av avtalen. Vedtaket om at Privacy Shield var ugyldig kom altså ikke som et lyn fra klar himmel den 16. juli 2020, men hadde blitt diskutert siden 2016. Hvorfor denne diskusjonen ikke fikk mer oppmerksomhet fra starten av var nok fordi databeskyttelse ikke ble «populært» før i 2018 da organisasjoner ble travelt opptatt med å sette opp behandlingsregistre og sende e-poster (og det meste var veldig rotete når det gjaldt personopplysninger) som følge av innføringen av GDPR.
EU-domstolens kjennelse, kjent som Schrems II, hadde store konsekvenser og innebar, for HR avdelinger, store begrensninger i mulighetene til lovlig bruk av tjenester basert på infrastrukturen til de amerikanske skygigantene. Grunnen var at dommen, dvs. annulleringen av Privacy Shield og spørsmålene rundt SCC-er, medførte at det på det tidspunktet ikke fantes noen alternative tilnærminger.
Vi undersøkte om unntakene i GDPR direktivets artikkel 49 kunne gi en løsning for mangelen på alternativer, men forsto raskt begrensningene ved en slik tilnærming - spesielt når det gjelder HR-data. Som et eksempel bør det - i teorien - være greit å unntaksvis overføre data basert på den enkeltes samtykke. Men, når det gjelder HR-data sier både «European Data Protection Board» og «Privacy Protection Authority» at maktbalansen i et arbeidsforhold gjør den ansattes samtykke, antakeligvis, ugyldig.
En annen løsning, i alle fall for multinasjonale selskaper, var å etablere såkalte «Binding Corporate Rules». For de fleste organisasjoner er disse dyre og tidkrevende å implementere og noe få HR-avdelinger alene kan dekke kostnadene for.
Nå som støvet delvis har lagt seg etter Schrems II, er det igjen mulig å jobbe mer konstruktivt og strategisk med dataoverføringer til USA.
Risikovurderinger må komme fra perspektivet til den registrerte, altså dine ansatte
Det lett å stirre seg blind på risikoen for astronomiske sanksjonsavgifter fra Datatilsynet og glemme selve hensikten med GDPR. Hver eneste bestemmelse i GDPR er der for å beskytte den enkeltes rett til privatliv og personlig integritet. Med det sagt er ikke GDPR en «one-size-fits-all» gitt hva som er viktig for den enkelte medarbeider, like sjelden som to HR-avdelinger har nøyaktig samme behov. Uten denne nyanseringen er det lett tenke at HR-systemer aldri kan være skybaserte, som et resultat av Schrems II.
Spørsmålet du må stille deg er "hvordan vil våre ansatte vurdere tjenesten vi vurderer å bruke, fra deres perspektiv?". Bruk sunn fornuft! Et system som håndterer veldig sensitive data, for eksempel et varslersystem, eller et mer eller mindre omfattende system som håndterer store datamengder representerer helt andre typer risiko enn en skytjeneste som forenkler tidsplanlegging for personalansvarlige.
En metodisk overføringsanalyse (Transfer-Impact-Assessment)
Å etterleve GDPR krever at organisasjonen din utfører en analyse av hver situasjon ved hjelp av på den grunnleggende metodikken utviklet av «European Data Protection Board». Metoden kan leses i sin helhet her. Analysen skal i det minste bestå av følgende seks trinn:
-
Kartlegg dataflyten: hvilke personopplysninger, hvem sine personopplysninger og hvor disse behandles. Finn hvilke leverandører dere bruker utenfor EU og analyser databeskyttelseslovene i landene du risikerer å overføre personopplysninger til. Merk spesielt i hvilken grad data overføres til USA.
-
Identifiser hvilke lover/regler overførselen er basert på og finn ut om den aktuelle overføringsmekanismen er tilstrekkelig. Undersøk muligheten for å bruke SCC-er, men merk at det ikke tilstrekkelig å bruke SCC som eneste mekanisme ved overførsel av personlig informasjon til USA.
-
Forstå lovgivningen i tredjepartslandene. Hva er finnes av informasjon om lover og regler rundt databeskyttelse i landene det overføres data til og hva slags vurdering av disse har leverandøren gjort?
-
Oppnå tilfredsstillende beskyttelse med andre tiltak. Vurder hvilke andre kontroller, gjerne tekniske, som kan legges til og konstruer eventuelt ekstra sikkerhetstiltak for å utfylle eksisterende avtaler. Svar på spørsmål som:
-
Er det mulig å bruke europeiske skyleverandører?
-
Er det mulig å ha deler av systemet i skyen og resten lokalt?
-
Stilles det andre beskyttelseskrav til vår virksomhet enn det som finnes i GDPR som vi må ta hensyn til?
-
-
Be Datatilsynet om hjelp: Lag en tidsplan for analysen og når du tenker å be om veiledning/hjelp fra Datatilsynet.
-
Gjenta og oppdater! Vurderingen du har gjort er et øyeblikksbilde og vil endre seg over tid. Disse endringene må gjenspeiles i fremtidige versjoner av analysen.
Du skal kunne vise hva du har gjort!
Med GDPR sine grunnleggende krav til dokumentasjon er det viktig å skrive ned alle hensyn man har gjort i disse vurderingene. Det er like viktig å dokumentere de tiltakene som er innført som de som ikke er innført - og hvorfor. Disse tiltakene må revurderes med passende intervaller.
I skrivende stund finnes det en politisk enighet mellom Biden-administrasjonen (USA) og Ursula von der Leyen (EU) om inngåelse av et «Privacy Shield 2.0». Det er foreløpig ikke offentliggjort detaljer rundt ordningen men for å blidgjøre EU-domstolen, og for å sikre dataoverføringer på sikt, er USA pålagt å begrense mulighetene for sine sikkerhetsmyndigheter til å utføre signaletterretning og å etablere en uavhengig rettslig prosess hvor EU-borgere kan få sine saker prøvd.
Vi kan hjelpe til med spørsmål relatert til personvern og informasjonssikkerhet
Følg med på Knowits blogg for oppdateringer på status for dataoverføringer til USA!