Vi setter personvern først og lagrer alle personopplysninger i Norge

Er du lei av å prøve og finne ut hvor personopplysninger lagres, om de er lagret trygt, hva som regnes som personopplysninger, hvor de prosesseres, hvem som har innsyn i dataene, hvor backuper, logger og filer lagres, og av å sette deg inn i databehandleravtaler?

Mange av de store leverandørene av skybaserte tjenester er lokalisert i USA. Du tenker kanskje at hundre-tusenvis av kunder er en garanti for dine data lagres sikkert og er beskyttet? Der kan det hende du tar feil.

Problemet består i at amerikanske myndigheter kan benytte seg av USA PATRIOT Act. Dette regelverket sikrer amerikanske myndigheter hjemmel for innsyn i data, evt retten til å få data utlevert, fra selskaper med base i USA. Dette gjelder også når dataene er lagret i datterselskaper utenfor USA, som for eksempel innenfor EU.

 

Make har laget en løsning for å imøtekomme alle disse problemstillingene: Vi lagrer alle personopplysninger i Norge – kortreist, oversiktlig og bærekraftig

Make AS er et norsk selskap, med norske eiere, som forholder seg til norske lover og regler for personvern.
Vi lagrer alle personopplysninger, backup og logger i Norge. Som et resultat av dette er alle våre kunder beskyttet mot stadig mer inngripende amerikansk lovgiving.

Dette synes vi gjør Make til et fint alternativ til Mailchimp eller tilsvarende amerikanske tjenester, når norske bedrifter skal velge leverandør innen e-postmarkedsføring.

«Da vi i Frende skulle velge ny leverandør for e-postmarkedsføring var det avgjørende at personopplysningene ble behandlet i Norge. Den muligheten er unik hos Make. Når de i tillegg har en ryddig og oversiktlig infrastruktur, god brukervennlighet, fantastisk support og alle funksjoner vi ellers trenger, var valget enkelt.» Alice Beate Holm – Frende Forsikring

 

I Make garanterer vi at:

Vi lagrer alle personopplysninger, backup og logger i Norge
Vi forholder oss til norsk lovgiving for personvern
Vi overvåker ikke hva du lagrer hos oss
Vi utveksler ikke eller prosesserer brukerdata i tredjepartstjenester
Vi sletter all data når du avslutter kontoen din
All e-post sendes fra norske servere og IP-adresser

Andre fordeler med lagring i Norge

Enklere å drive fullstendig innenfor Norsk lovverk
Forenkler GDPR-dokumentasjon når persondata lagres i Norge
Generell nærhet til der data er lagret vil gi økt hastighet og brukeropplevelse
Grønn strøm og lavere energiforbruk
Stabile geopolitiske forhold

 

Amerikanske leverandører kan være ulovlig

Den mye omtalte Schrems II-dommen som kom sommeren 2020 har ført til mye usikkerhet rundt lagring av personopplysninger, spesielt hos de store amerikanske selskapene. Det er nå klart at europeiske virksomheter må implementere «ytterligere beskyttelsestiltak» ved overføring av personopplysninger til blant annet USA – men få kan gi gode svar på hva disse tiltakene egentlig er.

Det som slås fast i Schrems II dommen er at amerikanske lovregler gir amerikanske myndigheter for stor tilgang til personopplysninger, og at det ikke finnes et objektivt organ med tilstrekkelig myndighet til at enkeltpersoner skal få prøvd sin sak. Dette er den reelle årsaken til at Privacy Shield ble tilsidesatt, og EU-domstolen presiserer at denne problemstillingen også gjelder for de andre overføringsgrunnlagene, som f.eks. EUs Standardkontrakter (SCC).

Både Datatilsynet i Norge og EDPB (det overordnede europeiske datatilsynet) legger til grunn at det ikke kan overføres personopplysninger ut av EU uten at det, i tillegg til å ha et gyldig overføringsgrunnlag, etableres sikkerhetstiltak som gjør at personvernet til EU-borgere ivaretas tilsvarende nivået i EU.

Når det gjelder muligheten til å etablere slike sikkerhetstiltak ved overføring til USA uttaler Datatilsynet følgende: « …dette kan være svært utfordrende eller umulig å få til i praksis ». Datatilsynets orientering finnes her.

Grunnlaget for Datatilsynets standpunkt er at amerikanske selskap og dets kunder ikke kan avtale seg ut av de lovreglene som gjelder for de amerikanske selskapenes virksomhet i USA.

Tilsvarende problemstilling gjelder for andre land som ikke har tilstrekkelig sikkerhetsnivå, men det er særlig problematisk når USA står på Nei-listen fordi det meste innen datadrevet teknologi har en kobling dit.

Slik det ser ut nå fremstår det som at den eneste mulige løsningen er å endre selve produktet (det tekniske oppsettet) slik at personopplysninger om EU-borgere ikke føres ut av EU.

 

Schrems II-dommen

Schrems II handlet om hvorvidt Facebook kunne overføre opplysninger om brukere i Europa til USA. Svaret på det var nei. I dommen ligger det også en innskjerping av dataoverføring til tredjeland og en tilsidesettelse av overføringsgrunnlaget Privacy shield (2016).

Hva regnes som overføring av personopplysninger

Med overføring av personopplysninger forstås personopplysninger som sendes eller overføres til et tredjeland. I utvidet betydning vil det også regnes som en dataoverføring hvis en person i et tredjeland får tilgang til de lagrede opplysningene, selv om disse opplysningene er lagret innenfor EØS. På denne måten sidestilles en fjerntilgang og en faktisk dataoverføring.

Hva er et overføringsgrunnlag

I utgangspunktet er det ikke tillatt å overføre persondata til land utenfor EØS (tredjeland). I noen tilfeller kan man unntas regelverket ved at mottaker av personopplysningene påtar seg visse forpliktelser. Det er disse forpliktelsene man omtaler som overføringsgrunnlag. Det er dataeksportør som har ansvaret for å finne et passende overføringsgrunnlag, samt oppfylle de tilleggskravene EU-domstolen har satt.

Hva inngår i tilleggskravene EU-domstolen har satt?

Tanken bak overføringsgrunnlagene er at personopplysningene skal være like godt beskyttet etter overførselen til tredjeland som de ville ha vært innenfor EØS. For å få til det har dataimportør i først omgang en plikt til å undersøke om lokal mydigheters rett til innsyn går foran de forpliktelsene overføringsgrunnlaget stadfester, og kartlegge hva som er mulig å oppnå i praksis.

Hvilke land kan det overføres personopplysninger til, uten at det er behov for overføringsgrunnlag og oppfyllelse av tilleggskrav?

I utgangspunktet gjelder det innad i EØS, dvs EU-land, Island, Liechtenstein og Norge. Det er også i tillegg noen land og områder som er godkjent av EU-kommisjonen. Per 2020 er disse Sveits, Andorra, Færøyene, Guernsey, Jersey, Isle of Man, Argentina, Canada, Israel, New Zealand, Japan og Uruguay.

Hva regnes som personopplysninger

Typisk data som regnes som personopplysninger er navn, adresse, telefonnummer, e-postadresse og fødselsnummer.

Biometri slik som fingeravtrykk, irismønster, hodeform (for ansiktsgjenkjenning) er også personopplysninger. Videre er en dynamisk IP-adresse i gitte tilfeller også definert som personopplysning.

Et bilnummer som kan knyttes mot en bestemt person vil regnes som en personopplysning, mens en firmabil som flere benytter seg av, ikke vil regnes som det.

I tillegg kan det nevnes at atferdsmønstre også regnes som personopplysninger. Informasjon om hvor du beveger deg, både på nett og fysisk, hvilke butikker du handler i, hvilke tv-serier du ser på, hva du søker på, er eksempler på dette.

 

Videre lesning

Spørsmål og svar om nye regler for overføring av personopplysninger til land utenfor EØS | Datatilsynet
Utfyllende veiledning om Schrems II | Datatilsynet

About the author

Daglig leder & partner
Snakk med meg om å bli partner →

Related Posts