Vet du hvor dine persondata lagres og er det innenfor GDPR og norsk lov ?

Lagring av data i ulike skytjenester har mange fordeler, men kan også by på utfordringer spesielt når det kommer til lagring og behandling av personopplysninger. Hvor blir disse opplysningene lagret og hvem har egentlig tilgang til dem ?

Skal du ta i bruk en ny tjeneste må du også kartlegge om personopplysninger overføres til land utenfor EØS, f.eks. USA. Veldig mange populære datalagrings og samhandlingstjenester er eiet av selskaper i USA, men selv om selve datalagringen skjer på en server lokalisert innenfor EU/EØS må man med rimelighet kunne anta at personell i USA har tilgang til alle lagrede data i klartekst selv om serveren er lokalisert innenfor EØS. Det vil betegnes som en overføring av persondata dersom dette vises på en skjerm av en tekniker i USA uten at datasett nødvendigvis flyttes til en annen server. Samme problemstilling vil også gjelde dersom f.eks. utviklere utenfor EU/EØS har tilgang til lagrede personopplysninger fra EU/EØS.

Amerikanske overvåkningslover strider mot retten til privatliv. Overføringsgrunnlaget Privacy Shield ble sommeren 2020 kjent ugyldig i det som kalles Schrems II dommen. Samtidig er bruk av Standard Contractual Clauses som overføringsgrunnlag ikke mulig uten inngående vurderinger av risiko og sikkerhetsnivå i det aktuelle landet, hvilket betyr at det må iverksettes ytterligere tiltak for å ivareta personvernet på lik linje med beskyttelsesnivået i EØS. Datatilsynet fastslår at mulighetene for overføring av personopplysninger til f.eks. USA i realiteten er svært begrenset.

Når det gjelder muligheten til å etablere slike sikkerhetstiltak ved overføring til USA sier Datatilsynet følgende :
«…det finnes en begrenset mulighet for å gjennomføre slike overføringer, men det kan ofte være utfordrende å få til i praksis».

Grunnlaget for Datatilsynets standpunkt er at amerikanske selskap og deres kunder ikke kan avtale seg ut av de lovreglene som gjelder for de amerikanske selskapenes virksomhet i USA.

Den enkleste måten å unngå denne problematikken er å sørge for at alle personopplysninger lagres i Norge.

ELinn oppfyller disse vilkårene ved at vi har egne dedikerte servere lokalisert i Norge.

Det vil si at vi aldri overfører persondata lagret i løsningen ut av EØS, samt at all drift og vedlikehold på servere samt utvikling, testing og kundestøtte utføres av norske selskaper i Norge (EØS området). Persondata lagret i ELinn overføres med andre ord aldri ut av EØS.

Tilbake til Personvern