Er du lei av å prøve og finne ut hvor personopplysninger lagres, om de er lagret trygt, hva som regnes som personopplysninger, hvor de prosesseres, hvem som har innsyn i dataene, hvor backup, logger og filer lagres?
Mange av de store leverandørene av skybaserte tjenester er lokalisert i USA. Du tenker kanskje at hundretusenvis av kunder er en garanti for at dine data lagres sikkert og er beskyttet? Der kan det hende du tar feil.
Problemet består i at amerikanske myndigheter kan benytte seg av USA PATRIOT Act. Dette regelverket sikrer amerikanske myndigheter hjemmel for innsyn i data, fra selskaper med base i USA. Men, det stopper ikke der. Det er tilknytningen til USA som er problematisk. Også datterselskaper i et USA-konsern er omfattet selv om datterselskapet er et EU-selskap.
Make har laget en løsning for å imøtekomme alle disse problemstillingene: Vi lagrer alle personopplysninger i Norge – kortreist, oversiktlig og bærekraftig
Make AS er et norsk selskap, med norske eiere, som forholder seg til norske lover og regler for personvern.
Vi lagrer alle personopplysninger, backup og logger i Norge. Som et resultat av dette er alle våre kunder beskyttet mot stadig mer inngripende amerikansk lovgiving.
Dette synes vi gjør Make til et fint alternativ til Mailchimp eller tilsvarende amerikanske tjenester, når norske bedrifter skal velge leverandør innen e-postmarkedsføring.
«Da vi i Frende skulle velge ny leverandør for e-postmarkedsføring var det avgjørende at personopplysningene ble behandlet i Norge. Den muligheten er unik hos Make. Når de i tillegg har en ryddig og oversiktlig infrastruktur, god brukervennlighet, fantastisk support og alle funksjoner vi ellers trenger, var valget enkelt.» Alice Beate Holm – Frende Forsikring
Amerikanske leverandører kan være ulovlig
Den mye omtalte Schrems II-dommen som kom sommeren 2020 har ført til mye usikkerhet rundt lagring av personopplysninger, spesielt hos de store amerikanske selskapene. Det er nå klart at europeiske virksomheter må implementere «ytterligere beskyttelsestiltak» ved overføring av personopplysninger til blant annet USA – men få kan gi gode svar på hva disse tiltakene egentlig er.
Det som slås fast i Schrems II dommen er at amerikanske lovregler gir amerikanske myndigheter for stor tilgang til personopplysninger, og at det ikke finnes et objektivt organ med tilstrekkelig myndighet til at enkeltpersoner skal få prøvd sin sak. Dette er den reelle årsaken til at Privacy Shield ble tilsidesatt, og EU-domstolen presiserer at denne problemstillingen også gjelder for de andre overføringsgrunnlagene, som f.eks. EUs Standardkontrakter (SCC).
Både Datatilsynet i Norge og EDPB (det overordnede europeiske datatilsynet) legger til grunn at det ikke kan overføres personopplysninger ut av EU uten at det, i tillegg til å ha et gyldig overføringsgrunnlag, etableres sikkerhetstiltak som gjør at personvernet til EU-borgere ivaretas tilsvarende nivået i EU.
Når det gjelder muligheten til å etablere slike sikkerhetstiltak ved overføring til USA uttaler Datatilsynet følgende: « …dette kan være svært utfordrende eller umulig å få til i praksis ».
Grunnlaget for Datatilsynets standpunkt er at amerikanske selskap og dets kunder ikke kan avtale seg ut av de lovreglene som gjelder for de amerikanske selskapenes virksomhet i USA.
Tilsvarende problemstilling gjelder for andre land som ikke har tilstrekkelig sikkerhetsnivå, men det er særlig problematisk når USA står på Nei-listen fordi det meste innen datadrevet teknologi har en kobling dit.
Slik det ser ut nå fremstår det som at den eneste mulige løsningen er å endre selve produktet (det tekniske oppsettet) slik at personopplysninger om EU-borgere ikke føres ut av EU.
Schrems II-dommen
Schrems II handlet om hvorvidt Facebook kunne overføre opplysninger om brukere i Europa til USA. Svaret på det var nei. I dommen ligger det også en innskjerping av dataoverføring til tredjeland og en tilsidesettelse av overføringsgrunnlaget Privacy shield (2016).
Hva regnes som overføring av personopplysninger
Med overføring av personopplysninger forstås personopplysninger som sendes eller overføres til et tredjeland. I utvidet betydning vil det også regnes som en dataoverføring hvis en person i et tredjeland får tilgang til de lagrede opplysningene, selv om disse opplysningene er lagret innenfor EØS. På denne måten sidestilles en fjerntilgang og en faktisk dataoverføring.
Hva er et overføringsgrunnlag
I utgangspunktet er det ikke tillatt å overføre persondata til land utenfor EØS (tredjeland). I noen tilfeller kan man unntas regelverket ved at mottaker av personopplysningene påtar seg visse forpliktelser. Det er disse forpliktelsene man omtaler som overføringsgrunnlag. Det er dataeksportør som har ansvaret for å finne et passende overføringsgrunnlag, samt oppfylle de tilleggskravene EU-domstolen har satt.
Hva inngår i tilleggskravene EU-domstolen har satt?
Tanken bak overføringsgrunnlagene er at personopplysningene skal være like godt beskyttet etter overførselen til tredjeland som de ville ha vært innenfor EØS. For å få til det har dataimportør i først omgang en plikt til å undersøke om lokal mydigheters rett til innsyn går foran de forpliktelsene overføringsgrunnlaget stadfester, og kartlegge hva som er mulig å oppnå i praksis.
Hvilke land kan det overføres personopplysninger til, uten at det er behov for overføringsgrunnlag og oppfyllelse av tilleggskrav?
I utgangspunktet gjelder det innad i EØS, dvs EU-land, Island, Liechtenstein og Norge. Det er også i tillegg noen land og områder som er godkjent av EU-kommisjonen. Per 2020 er disse Sveits, Andorra, Færøyene, Guernsey, Jersey, Isle of Man, Argentina, Canada, Israel, New Zealand, Japan og Uruguay.
Hva regnes som personopplysninger
Typisk data som regnes som personopplysninger er navn, adresse, telefonnummer, e-postadresse og fødselsnummer.
Biometri slik som fingeravtrykk, irismønster, hodeform (for ansiktsgjenkjenning) er også personopplysninger. Videre er en dynamisk IP-adresse i gitte tilfeller også definert som personopplysning.
