Kapittel 10: Personopplysningsvern og GDPR

Informasjonssikkerhet: Teori og praksis

Forfatter: Audun Jøsang
Utgave: 2. utgave, 2023
Forlag: Universitetsforlaget

---

Personvern og Personopplysningsvern

Grunnloven § 102:

Enhver har rett til respekt for sitt privatliv og familieliv, sitt hjem og sin kommunikasjon. Husransakelse må ikke finne sted, unntatt i kriminelle tilfeller. Statens myndigheter skal sikre et vern om den personlige integritet.

Definisjoner

• Personvern (Privacy): Generelt begrep uttrykt i den europeiske menneskerettskonvensjon, FNs menneskerettserklæring og grunnloven § 102.
• Personopplysningsvern (Data Protection): En underkategori av personvern rettet mot beskyttelse av personopplysninger iht. GDPR.
• Personopplysninger: Opplysninger som kan knyttes til en identifisert eller identifiserbar fysisk person.

---

Overvåkingsbarometer

Balanse mellom Personvern og Overvåking

• Fordeler med massiv innsamling av personopplysninger:

  • Støtter nye forretningsprosesser og effektiviserer forvaltningen.
  • Gir politimyndigheter bedre verktøy for etterforskning og håndheving av lov og orden.

• Ulemper:

  • Kan krenke integritet, skape uønsket oppmerksomhet og føre til diskriminering og maktmisbruk.

Eksempel på balanse

• Minimal innsamling av personopplysninger:
  • Mindre grunn til å frykte maktmisbruk.
  • Hindre utvikling av smarte forretningsprosesser og effektiv etterforskning av kriminalitet.

---

Overvåking på Nett

Reklameauksjoner

• Nettsteder samler inn informasjon om brukere over tid.
• Tredjeparts API-er samler også inn brukerdata.
• Sporingsaktører lager brukerprofiler gjennom aggregert informasjon.
• Reklame bestemmes gjennom auksjoner mens nettsiden lastes.

Mobilapper og Personvern

• Apper krever tilgang til ressurser på mobilenheten (kontakter, kamera, mikrofon, etc.).
• Brukere samtykker ofte til alt uten å tenke over konsekvensene.
• Statlig ansatte får ikke installere visse apper på arbeidsgiverens digitale enheter (TikTok, Telegram).

---

GDPR - General Data Protection Regulation

• Trådte i kraft: 25.05.2018 i EU, 20.07.2018 i Norge.
• Håndheves av: Datatilsynet i Norge.
• Viktige artikler:
  • Art. 5: Prinsipper for behandling av personopplysninger.
  • Art. 6: Behandlingens lovlighet.
  • Art. 25: Innebygd personvern.
  • Art. 32: Sikkerhet ved behandlingen.
  • Art. 35: Vurdering av personvernkonsekvens (DPIA).

---

Prinsipper for Behandling av Personopplysninger

Art. 5

1. Lovlighet, rettferdighet og åpenhet
2. Formålsbegrensning
3. Dataminimering
4. Riktighet
5. Lagringsbegrensning
6. Integritet og konfidensialitet
7. Ansvarlighet

Art. 6

• Behandlingsgrunnlag:
  1. Samtykke
  2. Oppfyllelse av avtale
  3. Rettlig forpliktelse
  4. Vitale interesser
  5. Allmennhetens interesse eller utøvelse av offentlig myndighet
  6. Berettigede interesser

---

DPIA - Vurdering av Personvernkonsekvens

Art. 35

• Når nødvendig: Ved høy risiko for de registrertes rettigheter og friheter.
• Prosess:
  1. Systematisk beskrivelse av behandlingen.
  2. Vurdering av nødvendighet og proporsjonalitet.
  3. Vurdering av risikoer for de registrertes rettigheter og friheter.
  4. Spesifisering av tiltak for å håndtere risikoer.
  5. Ledelsens validering av DPIA.

Tiltak for å Redusere Risiko

• Eksempler:
  • Redusert behandling av personinformasjon.
  • Automatisk sletting.
  • Anonymisering.
  • Forklarlig AI.

---

Referanser

• Datatilsynet - DPIA Veileder
• Datatilsynet - Virksomhetenes plikter
• Datatilsynet - Overføring til USA

---

Slutt på presentasjonen

---

For mer informasjon om GDPR og personvern, besøk Datatilsynet.

Oppgaver Kapittel 10: Personopplysningsvern

Oppgave 1: Roller

a. Kan en entitet være databehandler og samtidig ha en rolle som behandlingsansvarlig for den samme behandlingen? Begrunn svaret. Nei, en entitet kan ikke være både databehandler og behandlingsansvarlig for den samme behandlingen. Databehandleren behandler personopplysninger på vegne av behandlingsansvarlig, og de to rollene har forskjellige ansvar og plikter i henhold til GDPR.

b. Gi eksempler på situasjoner der en behandlingsansvarlig kan ha behov for å bruke en databehandler. Eksempler inkluderer:

• Når en bedrift outsourcer IT-tjenester til en tredjeparts leverandør for data hosting.
• Når en organisasjon bruker en tredjeparts tjenesteleverandør for lønnsbehandling.
• Når en nettbutikk bruker et eksternt selskap for kundestøtte.

Oppgave 2: Behandlingsgrunnlag

a. Hvilke behandlingsgrunnlag kan en virksomhet påberope seg for å behandle personopplysninger lovlig? I henhold til GDPR kan en virksomhet behandle personopplysninger lovlig på følgende grunnlag:

1. Samtykke fra den registrerte.
2. Behandlingen er nødvendig for å oppfylle en avtale med den registrerte.
3. Behandlingen er nødvendig for å overholde en rettslig forpliktelse.
4. Behandlingen er nødvendig for å beskytte vitale interesser til den registrerte eller en annen person.
5. Behandlingen er nødvendig for utførelsen av en oppgave i allmennhetens interesse eller utøvelse av offentlig myndighet.
6. Behandlingen er nødvendig for formål knyttet til de legitime interessene som forfølges av den behandlingsansvarlige eller en tredjepart.

Oppgave 3: Rettigheter for den registrerte

a. Hvilke rettigheter har den registrerte under GDPR? De viktigste rettighetene inkluderer:

1. Rett til informasjon.
2. Rett til innsyn.
3. Rett til retting.
4. Rett til sletting (retten til å bli glemt).
5. Rett til begrensning av behandling.
6. Rett til dataportabilitet.
7. Rett til å protestere.
8. Rettigheter i forbindelse med automatiserte avgjørelser og profilering.

Oppgave 4: Overføring av personopplysninger

a. Hva må en virksomhet vurdere ved overføring av personopplysninger til et tredjeland? Ved overføring av personopplysninger til et tredjeland må virksomheten sikre at landet har et tilstrekkelig beskyttelsesnivå for personopplysninger i henhold til GDPR. Hvis landet ikke har et tilstrekkelig beskyttelsesnivå, må virksomheten benytte seg av passende garantier, som standard personvernbestemmelser, bindende virksomhetsregler, eller innhente eksplisitt samtykke fra den registrerte.

Oppgave 5: Konsekvensutredning av personvern

a. Hva er hensikten med en konsekvensutredning av personvern (DPIA)? En konsekvensutredning av personvern (DPIA) har som hensikt å identifisere og minimere risikoene forbundet med behandlingen av personopplysninger. DPIA bidrar til å sikre at virksomheten overholder GDPR-kravene og beskytter de registrertes rettigheter og friheter.

b. Når er det påkrevd å gjennomføre en DPIA? Det er påkrevd å gjennomføre en DPIA når en type behandling sannsynligvis vil medføre høy risiko for de registrertes rettigheter og friheter. Dette inkluderer behandling som innebærer bruk av ny teknologi, profilering med betydelige konsekvenser, eller systematisk overvåking av offentlig tilgjengelige områder i stor skala.

Disse svarene dekker de viktigste punktene i kapittel 10 om personopplysningsvern og GDPR.

General Data Protection Regulation (GDPR)

Oversikt

General Data Protection Regulation (GDPR) er en omfattende europeisk lov som setter regler for behandling av personopplysninger om mennesker. I motsetning til sikkerhetsstandarder som PCI DSS eller ISO 27001, er GDPR et juridisk rammeverk designet for å beskytte individers personvern og databeskyttelsesrettigheter.

Viktige Punkter

• Omfang: Gjelder organisasjoner innenfor EU og enhver organisasjon som behandler personopplysninger om personer i EU, uavhengig av organisasjonens plassering.
• Håndhevelse: Hver EU-land har en databeskyttelsesmyndighet (DPA) ansvarlig for håndheving av GDPR.
• Straff: Manglende overholdelse kan føre til bøter på opptil €20 millioner eller 4% av årlig global omsetning, avhengig av hva som er høyere.

Hvorfor GDPR Eksisterer

Det primære formålet med GDPR er å beskytte individers grunnleggende rettigheter og friheter, spesielt deres rett til privatliv. Ved å standardisere databeskyttelseslover over hele EU, sikrer GDPR at personopplysninger beskyttes likt uavhengig av hvor de behandles innenfor EU.

Nøkkelbegreper og Prinsipper

Definisjoner

• Personopplysninger: Enhver informasjon som relaterer seg til en identifisert eller identifiserbar levende person.
• Behandling: Enhver operasjon utført på personopplysninger, inkludert innsamling, lagring, bruk og sletting.
• Den registrerte: Den enkelte hvis personopplysninger behandles.
• Behandlingsansvarlig: Organisasjonen som bestemmer formålet med og midlene for behandling av personopplysninger.
• Databehandler: Organisasjonen som behandler personopplysninger på vegne av den behandlingsansvarlige.

Prinsipper

1. Lovlighet, rettferdighet og åpenhet: Personopplysninger må behandles lovlig, rettferdig og på en åpen måte.
2. Formålsbegrensning: Data må samles inn for spesifiserte, eksplisitte og legitime formål og ikke behandles videre på en måte som er uforenlig med disse formålene.
3. Dataminimering: Kun data som er nødvendige for de spesifiserte formålene skal samles inn og behandles.
4. Riktighet: Personopplysninger må være nøyaktige og oppdateres etter behov.
5. Lagringsbegrensning: Data bør oppbevares i en form som tillater identifikasjon av de registrerte i ikke lengre tid enn nødvendig.
6. Integritet og konfidensialitet: Personopplysninger må behandles på en måte som sikrer tilstrekkelig sikkerhet.
7. Ansvarlighet: Den behandlingsansvarlige er ansvarlig for og må kunne demonstrere overholdelse av de andre prinsippene.

Lovlig Grunnlag for Behandling

Behandling av personopplysninger er kun lovlig hvis minst ett av følgende gjelder:

1. Samtykke: Den registrerte har gitt samtykke til behandling av sine personopplysninger.
2. Avtalemessig Nødvendighet: Behandling er nødvendig for oppfyllelsen av en kontrakt som den registrerte er part i.
3. Juridisk Forpliktelse: Behandling er nødvendig for å overholde en juridisk forpliktelse.
4. Vitale Interesser: Behandling er nødvendig for å beskytte den registrertes eller en annen persons vitale interesser.
5. Offentlig Interesse: Behandling er nødvendig for utførelsen av en oppgave i allmennhetens interesse eller utøvelse av offentlig myndighet.
6. Legitime Interesser: Behandling er nødvendig for formål knyttet til de legitime interessene som forfølges av den behandlingsansvarlige eller en tredjepart, med mindre den registrertes interesser eller grunnleggende rettigheter og friheter går foran.

Særlige Kategorier av Data

Særlige kategorier av data, som inkluderer informasjon om rase, religion, helse, seksuell orientering og mer, krever ekstra beskyttelse og et gyldig grunnlag for behandling.

Balansering av Menneskers Rettigheter

GDPR er en rettighetsbasert lovgivning som tar sikte på å beskytte individers databeskyttelsesrettigheter samtidig som det tillater organisasjoner å behandle data for legitime formål. Organisasjoner må balansere sine behov med individers rettigheter, og sikre at databehandlingen ikke interfererer med grunnleggende rettigheter og friheter.

Strukturen til GDPR

GDPR er delt inn i betraktninger og artikler:

• Betraktninger: Gir kontekst og forklaringer til artiklene.
• Artikler: De faktiske juridiske bestemmelsene, delt inn i seksjoner som generelle prinsipper, rettigheter for den registrerte, forpliktelser for behandlingsansvarlige og databehandlere, og rettsmidler.

Seksjoner

1. Generelle Prinsipper: Grunnleggende prinsipper for databeskyttelse.
2. Rettigheter for Den Registrerte: Rettigheter gitt til enkeltpersoner angående deres personopplysninger.
3. Forpliktelser for Behandlingsansvarlige: Spesifikke ansvarsområder for behandlingsansvarlige.
4. Dataoverføringer: Regler for overføring av data utenfor EU.
5. Rettigheter og Straff: Håndhevelsesmekanismer og straffer for manglende overholdelse.
6. Administrasjon: Hvordan loven håndheves og overvåkes innen EU.

Databeskyttelsesprinsipper i Dybden

Lovlighet, Rettferdighet og Åpenhet

Organisasjoner må:

• Sørge for at all behandling av personopplysninger er lovlig, rettferdig og gjennomsiktig.
• Informere individer om hva deres data brukes til og hvorfor.
• Balansere organisasjonens interesser med individers rettigheter og friheter.

Formålsbegrensning

Data skal kun brukes for de spesifikke formålene de ble samlet inn for, og ikke for andre formål uten ytterligere samtykke.

Dataminimering

Organisasjoner bør kun samle inn og behandle data som er nødvendige for de spesifikke formålene.

Riktighet

Data må holdes nøyaktige og oppdaterte. Feilaktige opplysninger må rettes opp.

Lagringsbegrensning

Data bør ikke oppbevares lenger enn nødvendig. Dette krever en klar politikk for datalagring og sletting.

Integritet og Konfidensialitet

Organisasjoner må implementere passende tekniske og organisatoriske tiltak for å sikre data mot uautorisert tilgang, tap eller ødeleggelse.

Ansvarlighet

Organisasjoner må kunne demonstrere overholdelse av GDPR-prinsippene gjennom dokumentasjon og styringssystemer.

Videre Informasjon

For mer detaljert informasjon om GDPR, inkludert databehandleravtaler, vurdering av personvernkonsekvenser (DPIA), og spesifikke artikler, anbefales det å konsultere juridisk rådgiver eller relevante veiledere fra Datatilsynet.

GDPR: Rettigheter for den registrerte

GDPR gir enkeltpersoner flere rettigheter over informasjonen som relaterer seg til dem. Som behandlingsansvarlig er det avgjørende å forstå og respektere disse rettighetene. Her er en oppsummering av de viktigste rettighetene:

1. Rett til å bli informert (Art. 13 & 14)

Den registrerte har rett til å vite hvordan deres data vil bli behandlet. Informasjonen skal gis når data samles inn fra den registrerte eller fra en annen kilde. Dette inkluderer:

• Organisasjonens identitet
• Kontaktperson for spørsmål/klager
• Formål med datainnsamling og juridisk grunnlag
• Deling av data med tredjeparter
• Dataoverføring utenfor EU
• Lagringsperiode for dataene
• Den registrertes rettigheter

2. Rett til innsyn (Art. 15)

Den registrerte kan be om å få vite om en behandlingsansvarlig har data om dem, og få en kopi av denne informasjonen. Dette er kjent som en Data Subject Access Request (DSAR).

3. Rett til retting (Art. 16)

Gir den registrerte rett til å be om korrigering av unøyaktige data om dem.

4. Rett til sletting (Art. 17)

Kjent som "retten til å bli glemt". Den registrerte kan be om sletting av data dersom:

• Dataene er ikke lenger nødvendige.
• Den registrerte trekker tilbake samtykke.
• Dataene er ulovlig behandlet.

5. Rett til begrensning av behandling (Art. 18)

Den registrerte kan be om å begrense behandlingen av deres data, for eksempel hvis dataenes nøyaktighet er omstridt.

6. Rett til dataportabilitet (Art. 20)

Den registrerte kan be om å få overført sine data til en annen tjenesteleverandør i et strukturert, maskinlesbart format.

7. Rett til å protestere (Art. 21)

Den registrerte kan protestere mot behandling av deres data, spesielt for direkte markedsføring.

8. Rettigheter knyttet til automatisert beslutningstaking og profilering (Art. 22)

Den registrerte har rett til å ikke være gjenstand for beslutninger basert utelukkende på automatisert behandling, inkludert profilering, hvis det har betydelige effekter på dem.

Oppsummering

GDPR gir omfattende rettigheter til den registrerte for å sikre deres personvern og databeskyttelse. Som behandlingsansvarlig må du:

• Informere den registrerte om hvordan deres data behandles.
• Gi tilgang til deres data på forespørsel.
• Korrigere feilaktige data.
• Slette data når det er berettiget.
• Begrense behandlingen hvis nødvendig.
• Overføre data på forespørsel.
• Respektere protester mot behandling.
• Unngå automatiserte beslutninger uten menneskelig innblanding, når det har betydelige effekter.

Manglende overholdelse av disse rettighetene kan resultere i betydelige bøter og rettslige konsekvenser. Det er derfor viktig å ha systemer og prosesser på plass for å håndtere slike forespørsler effektivt og innenfor de tidsfrister som GDPR krever.

GDPR: Behandlingsansvarliges og databehandleres ansvar

Denne delen av GDPR beskriver hva behandlingsansvarlige (controllers) og databehandlere (processors) må gjøre for å etterleve loven. Her er en oppsummering av de viktigste ansvarsområdene:

Ansvar og styring

• Ansvarlighet: Behandlingsansvarlige må ta tekniske og organisatoriske tiltak for å sikre at de behandler data i samsvar med GDPR, og de må kunne dokumentere dette.
• Innebygd personvern og personvern som standardinnstilling: Datahåndtering skal inkluderes i alle forretningsprosesser og teknologier. Dette inkluderer dataminimering og bruk av pseudonymisering der mulig.
• Føre register over behandlingsaktiviteter: Det skal føres nøyaktige registre over hvilke typer personopplysninger som behandles, formålet med behandlingen, og hvem som mottar dataene. Dette gjelder også sikkerhetstiltakene som beskytter dataene.
• Samarbeid med tilsynsmyndigheter: Behandlingsansvarlige må samarbeide med nasjonale tilsynsmyndigheter og gi dem nødvendig informasjon ved forespørsel.

Vurdering av personvernkonsekvenser (DPIA)

• Gjennomføre DPIA: Ved behandling av data som sannsynligvis vil medføre høy risiko for den registrertes rettigheter og friheter, må det utføres en vurdering av personvernkonsekvenser (Data Protection Impact Assessment).
• Beskrivelse og risikovurdering: DPIA skal beskrive behandlingsaktivitetene og vurdere om de er nødvendige og proporsjonale. Den skal identifisere risikoer og foreslå tiltak for å redusere disse risikoene.

Behandlingsansvarliges forhold til databehandlere

• Skriftlige avtaler: Forholdet mellom behandlingsansvarlige og databehandlere må være regulert av skriftlige avtaler som spesifiserer hva databehandleren skal gjøre med dataene.
• Bruk av underleverandører: Databehandlere må ha tillatelse fra behandlingsansvarlig før de bruker underleverandører.
• Datasikkerhet: Databehandlere må sikre dataene i henhold til avtalen, inkludert å beskytte dataene mot uautorisert tilgang, tap eller ødeleggelse.

Databeskyttelsesansvarlig (DPO)

• Utnevning av DPO: Noen organisasjoner må utnevne en databeskyttelsesansvarlig hvis de er en offentlig myndighet, overvåker personer systematisk i stor skala, eller behandler store mengder sensitive data.
• DPOs oppgaver: DPO skal gi råd, overvåke etterlevelse av GDPR, gjennomføre DPIAs, og være kontaktpunkt for tilsynsmyndigheter.

Overføring av data utenfor EU

• Sikre tilstrekkelig beskyttelsesnivå: Ved overføring av data til land utenfor EU, må behandlingsansvarlige sikre at dataene er tilstrekkelig beskyttet. Dette kan gjøres ved å bruke standard kontraktsklausuler eller binding corporate rules.

Konsekvenser ved manglende overholdelse

• Bøter og straff: Manglende overholdelse kan resultere i bøter opptil 2% av global omsetning eller €10 millioner, avhengig av hva som er høyest.
• Rettssaker: Den registrerte kan gå til rettssak for å kreve oppfyllelse av sine rettigheter eller erstatning for skade.

Oppsummering

Behandlingsansvarlige må sikre god styring av personopplysninger, gjennomføre nødvendige vurderinger av personvernkonsekvenser, sikre skriftlige avtaler med databehandlere, og utnevne en databeskyttelsesansvarlig der det er nødvendig. Manglende etterlevelse kan medføre store bøter og rettslige konsekvenser. Det er derfor avgjørende å ha effektive prosesser og systemer på plass for å håndtere disse kravene.

Oppsummering: Sikkerhet, Risiko og Konsekvensvurderinger under GDPR

Risiko for Registrerte Personer

GDPR fokuserer på å beskytte de fundamentale rettighetene og frihetene til de registrerte (personer som dataen omhandler) gjennom risikobasert informasjonssikkerhet. Dette innebærer å vurdere risikoen for brudd på konfidensialitet, integritet og tilgjengelighet, og implementere passende tekniske og organisatoriske tiltak for å redusere disse risikoene.

Artikkel 32: Informasjonssikkerhet

Artikkel 32 krever at behandlingsansvarlige og databehandlere tar hensyn til:

• Teknologisk utvikling og kostnadene ved implementering.
• Behandlingens natur, omfang, kontekst og formål, samt risikoen for de registrertes rettigheter og friheter.
• Passende sikkerhetstiltak basert på risikovurdering, inkludert pseudonymisering og kryptering, for å sikre dataenes konfidensialitet, integritet og tilgjengelighet.

Artikkel 33 og 34: Respons på Databrudd

Ved et databrudd må organisasjonen:

• Varsle tilsynsmyndigheten innen 72 timer etter å ha blitt klar over bruddet, dersom det er en risiko for de registrertes rettigheter og friheter.
• Informere de berørte registrerte dersom det er en høy risiko for deres rettigheter og friheter.

Risiko- og Konsekvensvurdering

En risikovurdering under GDPR skal:

• Vurdere sannsynlighet og konsekvens av et potensielt brudd på de registrertes rettigheter.
• Beregne risiko ved å kombinere sannsynlighet og konsekvens, og deretter bestemme passende sikkerhetstiltak basert på denne vurderingen.

Kontrolltiltak og Dokumentasjon

• Dokumentere valg av sikkerhetstiltak og begrunnelsen for disse valgene.
• Implementere baseline sikkerhetstiltak som er standard for bransjen, og tilleggstiltak for systemer med høyere risiko.
• Sørge for operasjonell og effektiv sikkerhet ved å regelmessig teste og evaluere sikkerhetstiltakene.

Eksempel på Konsekvensvurdering

• Personvern: Et mindre brudd kan være avsløring av kontaktinformasjon, mens et kritisk brudd kan føre til identitetstyveri eller skade på personens karriere.
• Økonomisk tap: Varierer fra små økonomiske tap til tap av betydelige eiendeler.
• Fysisk og mental integritet: Fra mindre stress til varige fysiske eller mentale helseeffekter.

Behandlingsansvarliges Ansvar

• Sikre passende sikkerhetstiltak og kontinuerlig evaluere deres effektivitet.
• Beredskap for databrudd: Ha prosedyrer for å raskt varsle tilsynsmyndigheter og berørte registrerte.

Konklusjon

GDPR krever at organisasjoner tar en risikobasert tilnærming til informasjonssikkerhet, med fokus på risikoen for de registrertes rettigheter og friheter. Dokumentasjon av sikkerhetstiltak og beredskap for databrudd er essensielt for å overholde regelverket. Samarbeid med tilsynsmyndigheter og juridisk rådgivning er kritisk for å sikre etterlevelse.

Oppsummering: Schrems II

Schrems II refererer til en avgjørelse fra EU-domstolen som har betydelig innvirkning på overføringen av personopplysninger fra EU til tredjeland, spesielt USA.

Bakgrunn

• Max Schrems, en østerriksk personvernaktivist, utfordret gyldigheten av EU-US Privacy Shield, en mekanisme som tillot overføring av personopplysninger fra EU til USA.
• EU-domstolen konkluderte med at Privacy Shield ikke ga tilstrekkelig beskyttelse for europeiske borgere, hovedsakelig på grunn av bekymringer om amerikansk overvåkning.

Hovedpunkter fra Schrems II-dommen

1. Ugyldighet av Privacy Shield:

   • Domstolen erklærte at Privacy Shield ikke oppfylte kravene til beskyttelse av personopplysninger i henhold til GDPR.
   • Amerikanske overvåkningslover ga ikke tilstrekkelige rettigheter til ikke-amerikanske borgere.

2. Standard kontraktsklausuler (SCCs):

   • SCCs ble opprettholdt som et gyldig grunnlag for overføring av personopplysninger til tredjeland.
   • Imidlertid må dataeksportører og -importører vurdere om SCCs gir tilstrekkelig beskyttelse i praksis, gitt det juridiske miljøet i mottakerlandet.

3. Tilleggstiltak:

   • Når SCCs alene ikke er nok, må virksomheter innføre ytterligere tiltak for å beskytte personopplysninger.
   • Dette kan inkludere tekniske, organisatoriske eller kontraktsmessige tiltak for å sikre dataens konfidensialitet og integritet.

Konsekvenser for Virksomheter

• Virksomheter må gjennomføre omfattende vurderinger av dataoverføringer til tredjeland.
• De må sikre at mottakerlandets lovgivning ikke underminerer beskyttelsen gitt av SCCs.
• Ytterligere tiltak kan være nødvendig for å sikre at personopplysninger behandles i tråd med europeiske personvernstandarder.

Tiltak for Overholdelse

• Gjennomføre risikovurderinger av alle dataoverføringer til tredjeland.
• Implementere tilleggstiltak der det er nødvendig for å opprettholde datasikkerhet og personvern.
• Sikre dokumentasjon av vurderingsprosesser og tiltak for å vise etterlevelse ved revisjoner eller henvendelser fra tilsynsmyndigheter.

Schrems II-dommen understreker viktigheten av å beskytte personopplysninger ved internasjonale dataoverføringer og krever at virksomheter nøye vurderer de juridiske rammene i mottakerlandene.