Säkerhet

Gör vi Tredjelandsöverföringar?

I artikel 35 från GDPR ställs krav på företag och andra organisationer att genomföra en så kallad konsekvensbedömning avseende dataskydd. Syftet med denna konsekvensbedömning är att säkerställa att personuppgifter behandlas i enlighet med alla de krav som fastställs i förordningen.

Bakgrund

Konsekvensbedömningen måste inte eliminera de risker som fastställs utan ska hjälpa verksamheter att fortlöpande hantera dessa risker samt att man tar beslut om konsekvenser av olika risker är godtagbara för den verksamhet man bedriver. Inga risker får lämnas utan en aktiv värdering av konsekvenserna för de personuppgifter som hanteras.

De verktyg som finns tillhanda för att hantera dataskydd bygger på att människan förstår och kan beskriva den behandling som görs.

Historiskt har detta inte varit svårt då individer gjort alla moment i behandlingen. Med en ökad grad av komplexitet och en global systemkarta får människan en allt mindre del i utförandet och förståelsen för exakt vilken behandling som görs minskar.

Grundlig dokumentation kan uppväga denna brist. Men självklart ställs då krav på att denna uppdateras och hålls aktuell samt att åtminstone någon person fortfarande har bilden klar för sig. Behandling av personuppgifter i tredje land är en av de risker som återkommer för en stor mängd IT-system och köpta tjänster.

Utmaning

I dagens komplexa systemmiljö används slentrianmässigt tjänster som innebär att man ofta delar med sig av information och personuppgifter till organisationer i ett tredje land. Om det inte är uppenbart i ett första led med en lokal eller EU-baserad leverantör, så kan dessa använda sig av en underleverantör i ett underliggande led som finns i tredje land.

Detta reser en fråga om hur bra kunskap man har och vilka kontroller man egentligen genomför för att säkerställa en korrekt överblick över vilka tredjelandsöverföringar som faktiskt genomförs.

Denna utmaning reflekteras i både offentlig och privat sektor.

Diskussion

Innan man ens kan börja svara på frågan ställd i utmaningen, behöver man klargöra vad för information och vilka personuppgifter som organisationen hanterar i tjänsten. Har man beskrivit sin behandling korrekt i en registerförteckning? Registerförteckningen ska beskriva vilka personuppgifter som behandlas och hur de delas, och därifrån kan man börja klargöra bilden.

Det kan ganska ofta vara svårt att känna sig helt säker på hur personuppgifter egentligen delas och speciellt i samverkan med en stor leverantör. Men i det personuppgiftsavtal som tecknas mellan personuppgiftsansvarig och personuppgiftsbiträde bör det finns information om var personuppgifterna behandlas och vilka underleverantörer man använder sig av samt var de finns.

Det är vanligt att stora leverantörer publicerar denna information på sina hemsidor så att aktuell information alltid finns tillgänglig. Det viktigaste är att undersöka hur det ser ut och hittar man inte svar – att man faktiskt frågar leverantören. Ett svar som ofta återkommer från leverantörer och som man kan räkna med att få höra är: ”Vi skyddar din information och dina personuppgifter på ett korrekt sätt”. Vilket inte är svar på frågan.

Här ska man inte nöja sig med otydliga standardsvar. Det är din information! Du måste veta hur din information delas och på vilket sätt den skyddas, inte bara att den ”skyddas på ett korrekt sätt”. Detta är information som leverantören bör kunna ge dig utan att behöva fundera. Får du ett otydligt standardsvar likt det ovan – ställ frågan igen och be om ett mer konkret svar.

En annan aspekt om man till exempel tittar på en vanlig tjänst som Google Analytics så är det ofta oklart vad man egentligen delar och om man uppfyller kraven som ställs i GDPR. Det första steget blir därför att kartlägga vad man valt att skicka över. Med en korrekt nulägesbild kan vi sen titta på frågan om tredjelandsöverföringar och om det sker, vad som delas och inte.

Slutsats

Som personuppgiftsansvarig är man ålagd att ha kontroll på de behandlingar av personuppgifter som sker och var. Ställ frågor om var din information behandlas, genomför en risk- och sårbarhetsanalys samt utarbeta ett svar på ”är vi redo och beredda att ta risken?”. Genom att veta detta öppnas möjligheter att använda verktyg utan att riskera att bryta mot dataskyddsförordningen.

Tredjelandsöverföring kan också få andra konsekvenser, inte bara GDPR. Om verksamheten faller in under Säkerhetsskyddslagen, NIS-direktivet eller om verksamheten är en del av det svenska totalförsvaret behöver behandlingarna även här granskas, bedömas och beslutas utifrån respektive lagstiftning.

Vi på Kontract jobbar dagligen med den utmaning som diskuterats ovan hos flertalet kunder. Hör av dig till oss om du och din organisation behöver hjälp att reda i frågan kring tredjelandsöverföringar.

Publicerat den 4 februari 2022
Får vi bjuda på en kaka? Denna webbplats använder cookies. Läs mer i vår cookiepolicy.