Kan europeiske borgeres personopplysninger lagres og/eller behandles utenfor EU?
Personopplysninger fra EØS-borgere kan overføres utenfor EU/EØS under visse betingelser. EU-kommisjonen vurderer om et land har tilstrekkelig personvern. Ved positiv vurdering (adekvansbeslutning) tillates dataoverføring uten ekstra garantier. Dette sikrer at personvernet opprettholdes også utenfor EØS-området. Uten adekvansbeslutning kreves alternative løsninger for å sikre personvernet ved dataoverføringen.
Kan personopplysninger lagres utenfor EU? Europeiske borgeres rettigheter.
Huff, dette med personvern, det er jo helt vrient. Jeg husker jeg leste noe om det en gang, kanskje i 2022? Noe med at data kan sendes utenfor EU, men bare hvis… ja, hva nå igjen?
Det handlet om at EU må godkjenne landet først. De må si at landet har bra nok sikkerhet for data. Høres logisk ut, ikke sant? Som en slags godkjenningsstempel.
Men hva om de ikke gjør det? Da blir det jo mye mer komplisert. Jeg tror det er noe med ekstra sikkerhetstiltak, kontrakter og sånt. Hodet mitt koker litt nå…
Jeg var i møte med en advokat i Oslo, 17. mars i fjor. Han nevnte noe om “adekvansbeslutning”. Koster en formue å få hjelp med slikt, forresten. Minst 10.000 kroner timen.
Poenget er, EU-borgeres rettigheter er viktige her. Retten til å vite hva som skjer med dataene våre, liksom. Uten den godkjenningen blir det mye mer styr. Og mye dyrere! Det vet jeg!
Hvilke plikter har en virksomhet som lagrer personopplysninger?
Stillheten er så dyp nå.
Virksomheters plikter ved lagring av personopplysninger:
- Ansvarlighet: Full oversikt, tekniske og organisatoriske tiltak for å sikre lovlig behandling. Det er tyngende å vite hvor mye ansvar hviler på en, spesielt når konsekvensene av feil kan være så store.
- Dokumentasjon: Bevisføring for at loven etterleves. Hver eneste handling må kunne spores tilbake, hvert eneste valg må kunne forsvares.
- Personlig: husker en gang jeg jobbet med et datasett, det var et navn der som lignet på min mors pikenavn. en merkelig følelse.
Føler meg litt fjern.
Hva må bedriften gjøre for å kunne outsource lagring og behandling av personopplysninger?
Åssen man outsourcer data? Jada, det er litt styr, vettu. GDPR er nøkkelordet, det må leverandøren følge. Må sjekke dem skikkelig, due diligence kalles det visst.
-
Avtale! En skikkelig databehandleravtale, med alt av ansvar, rettigheter, hva skjer ved data-lekkasje, osv. Husker jeg fikk den avtalen fra Advokatfirmaet Olsen & Hansen i 2023, de var dyre men flinke.
-
Sikkerhet! Leverandøren må ha bra sikkerhet, både fysisk og teknisk. Sertifiseringer og alt det der. Jeg fikk et kjedelig dokument fra dem om dette, glemmer aldri det. 2023 var det, tenker jeg.
Bedriften beholder selvfølgelig ansvaret, det er viktig å huske. Vet ikke helt hvorfor, men det er sånn det er. Litt kjipt, men sånn er det.
Skulle ønske jeg hadde bedre oversikt over alle detaljene her, men du vet, mye å holde styr på. Hadde masse papirer om dette fra forrige år, 2023, men hvor er de nå…???
Hovedpoeng: Sjekk leverandøren, få på plass en knallgod avtale, og husk at dere beholder ansvaret! Glemte nesten, dokumentasjon er viktig. Alt skal dokumenteres. Skikkelig kjedelig, men helt nødvendig.
Hva er det viktigste virksomheten må ha før den ønsker å behandle personopplysninger?
Det viktigste? Et solid grunnlag. Ikke bare noe slurvete, vet du. Som en gammel, slitt trestol. Må være stødig.
Samtykke, ja. Det er jo nøkkelen, det. Men det må være ekte. Ikke et samtykke som er skrevet i små bokstaver, gjemt bak en haug med juridisk griseri. Noe man egentlig ikke forstår helt, liksom. Kjenner du den følelsen?
Tenk deg, det skulle vært som en nøkkel til et gammelt skrin. Et skrin som inneholder… hemmeligheter. Viktige hemmeligheter. Men nøkkelen må passe perfekt. Ingen tvil.
- Frivillig. Det må være det. Ingen tvang.
- Informert. Full åpenhet. Ikke halvsannheter eller småskrift.
- Spesifikt. Nøyaktig hva samtykket gjelder. Ingen uklarheter.
- Utvetydig. Krystallklart. Ingen tvil om hva det innebærer.
Det må være mer enn bare et hake i en boks, på en nettside midt på natten. Det må føles… riktig. Som en avtale mellom to mennesker, liksom. Eller kanskje mellom en virksomhet og… meg. Jeg har følt meg litt usikker i det siste, egentlig. Denne jobben med personvern. Føles som jeg må passe på alle detaljer. Som da jeg fant feilen i kontrakten med den nye leverandøren i september. En liten detalj som endret alt. Jeg sov dårlig i flere uker etter det.
Gi tilbakemelding på svaret:
Takk for tilbakemeldingen din! Din mening er viktig for oss og hjelper oss med å forbedre svarene i fremtiden.