VURDERINGER
Konsekvensanalyse av dataoverføringer (DTIA)
Dersom et selskap har til hensikt å overføre personopplysninger til en tredjestat som ikke har et tilstrekkelig beskyttelsesnivå, skal det først foreta en konsekvensanalyse av overføringen, også kalt «DTIA».
Når skal virksomheter gjennomføre en dataoverføringskonsekvensanalyse (DTIA)?
Data Transfer Impact Assessment (DTIA) er et organisatorisk sikkerhetstiltak som selskaper må implementere før de overfører personopplysninger til et tredjeland, med mindre det landet har et tilstrekkelig beskyttelsesnivå. I tillegg kan det også tenkes indirekte dataoverføringer, som mange ikke tenker på. For eksempel, hvis et selskap bruker en skytjeneste til å behandle personopplysninger, men skytjenesteleverandøren har sin virksomhet og virksomhet utenfor EU / EØS-landene. Som et resultat kan mange daglige tjenester som brukes av bedrifter, dekkes, for eksempel tredjeparts tjenesteleverandører som tilbyr e-posttjenester, webanalyseverktøy eller CRM-systemer.
Vær oppmerksom på at det ofte er nødvendig å utarbeide en konsekvensanalyse av dataoverføringer, selv om selskapet bruker standard kontraktsklausuler utviklet av EU-kommisjonen, også kjent som «SCC».
Hyppig bruk av bona fide-leverandører og offentlige anskaffelser som krever en konsekvensvurdering av dataoverføringer
Det er vanlig at selskaper må gjennomføre og dokumentere en konsekvensanalyse av dataoverføringer, da det ofte er et krav for å vinne et offentlig anbud. Videre er det ikke uvanlig for bona fide leverandører og større selskaper å kreve det fra sine partnere og underleverandører. Gjennomføring av konsekvensvurderinger av dataoverføringer kan også øke tilliten til kunder og ansatte.
Definisjon av «tredjestat» og «tilstrekkelig vernenivå»
Tredjestat
Et land utenfor EU/EØS omtales som et tredjeland i henhold til GDPR. Hvis et EU/EØS-selskap overfører personopplysninger til et tredjeland, gjelder strengere regler enn om det var en overføring mellom to aktører i Unionen.
Tilstrekkelig
Selskaper kan overføre personopplysninger til et tredjeland uten å måtte gi ytterligere garantier, hvis det tredjelandet sikrer et tilstrekkelig beskyttelsesnivå. Vær oppmerksom på at i henhold til artikkel 45 i GDPR, kan bare EU-kommisjonen bestemme dette. I tillegg trenger det ikke nødvendigvis å være et land som tilstrekkelig beslutning er gitt, men kan også gjelde bare et bestemt territorium i et land. I forbindelse med vurderingen ser Kommisjonen blant annet på at det finnes uavhengige tilsynsmyndigheter for vern av personopplysninger i nevnte tredjestat. Beslutningen bygger også på de registrertes rettslige muligheter dersom nevnte tredjestat respekterer menneskerettighetene osv.
Formålet med å gjennomføre en konsekvensanalyse av dataoverføringer
Formålet med konsekvensutredningen er å vurdere om mottakerlandet har et tilstrekkelig beskyttelsesnivå for personopplysninger i tråd med EUs krav. For eksempel hvilke rettslige midler de registrerte har til å utøve sine rettigheter, lover om sosial overvåking, rettssikkerhet i landet osv.
Hva bør en konsekvensanalyse av dataoverføring inneholde?
Kartlegging
Først og fremst er det nødvendig å identifisere og identifisere hvilke typer personopplysninger som vil bli overført. Disse inkluderer omfanget, formålet, systemene gjennom hvilket og mottakerlandet. Vær oppmerksom på at det er viktig å kartlegge den planlagte dataoverføringen og aktørene som er involvert.
Destinasjonsstat
En konsekvensanalyse av dataoverføringer handler i bunn og grunn om å analysere mottakerlandet. For eksempel, om lovene tillater myndighetene i mottakerlandet å få tilgang til personopplysningene på en måte som er uforholdsmessig, hvilke rettigheter de registrerte har i henhold til databeskyttelsesloven i mottakerlandet, om beskyttelsesnivået oppfyller europeiske krav, etc.
Vurdering av
For å minimere risikoen forbundet med overføring av personopplysninger fra EU/EØS til et tredjeland, må selskapet implementere egnede tekniske og organisatoriske sikkerhetstiltak. De nøyaktige tiltakene vil avhenge av det enkelte tilfelle. Det kan for eksempel være hensiktsmessig å logge behandlingsoperasjoner strengere enn vanlig. Vær oppmerksom på at overføringen ikke er tillatt dersom sikkerhetstiltakene ikke er tilstrekkelige.
Restrisiko
Den siste delen av konsekvensanalysen av dataoverføringene er å analysere gjenværende risiko etter alle sikkerhetstiltak tatt av selskapet. Deretter kan selskapet ta en beslutning om hvorvidt dataoverføringen skal utføres eller ikke.
Hvilken innvirkning kan virksomheter ha hvis de ikke gjennomfører en konsekvensanalyse av dataoverføringer?
Dette vil avhenge av saken i hvert enkelt tilfelle. På den annen side kan det føre til en bot, da det utgjør et brudd på GDPR. Beløpet avhenger også av detaljene i situasjonen og størrelsen på selskapet. Det maksimale beløpet for alvorlige brudd på GDPR er EUR 20 millioner eller 4 % av den totale verdensomspennende årsomsetningen (den høyeste av alternativene).
Personvernombud (DPO) som skal konsulteres ved gjennomføring av konsekvensutredning
Ved konsekvensutredning skal selskapet alltid rådføre seg med sin personvernombud dersom selskapet har utpekt en. Dette følger av artikkel 35 i GDPR. Data Protection Officer (DPO) spiller en viktig rolle i selskapet, inkludert å være involvert i konsekvensutredninger. På grunnlag av personvernombudets oppgaver i henhold til artikkel 39 GDPR samt tilsyns- og samsvarspraksis etter Schrems II-dommen, skal selskapet rådføre seg med personvernombudet også i forbindelse med en konkret konsekvensanalyse av dataoverføringen.
Mer informasjon
Risikovurdering
Selskaper bør gjennomføre en risikovurdering før ny behandling av personopplysninger påbegynnes. Det samme gjelder når selskapet introduserer nye teknologier og systemer til eksisterende prosessering. Risikovurderingen handler om å analysere risiko og konsekvenser av behandlingen for de registrerte. I tillegg skal risikovurderingen analysere hvilke tiltak selskapet kan treffe for å minimere risikoen til et akseptabelt nivå.