Her kan du lese om arbeidsrelaterte personopplysninger som har et lavt behov for vern og kan overføres til tredjeland, under visse forutsetninger.
Hvor er jeg i veiledningen?
1 Innledning og problemstilling
Kort oppsummering av teksten på denne siden
Ved bruk av amerikanske skytjenester som innebærer en overføring av personopplysninger ut av EU/EØS må det foretas en helhetsvurdering i henhold til GDPR kapittel V, Schrems II, og EMK artikkel 8. EDPB og Datatilsynet har kommet med veiledning til denne vurderingen. Det avgjørende er at overføringen ikke utgjør et større inngrep i den registrertes rettigheter enn det som er nødvendig i et demokratisk samfunn. Inngrepet i retten til privatliv må sammenholdes med eksisterende rettsikkerhetsmekanismer og eventuelle ytterligere tiltak.
For overføringer basert på SCC finnes det rettssikkerhetsmekanismer i EU/EØS med tilgang til domstoler og tilsynsmyndigheter.
Virksomheten og / eller ansatte, og andre som utfører oppgaver for virksomheten, må i mange sammenhenger oppgi personopplysninger for å opprette f.eks. en brukerkonto for et konkret verktøy. Dette er relativt trivielle opplysninger.
Denne typen personopplysninger sier mer om rollen og oppgavene og mindre om personen og dens private aktiviteter. Oftest er det også snakk om opplysninger som er offentlig tilgjengelige på annen måte og hvor tredjelands etterretning ikke er avhengig av krav om utlevering for å få tak i dem
I de tilfellene hvor overføringen bare gjelder denne typen arbeidsrelaterte personopplysninger, er arbeidsgruppens vurdering at disse opplysningene krever lite vern. En overføring kan derfor normalt skje uten å iverksette ytterligere tiltak, utover de standard sikkerhetstiltak som tilbys i tjenesten og som følger av personvernforordningens øvrige bestemmelser.
I noen tilfeller kan det imidlertid foreligge spesielle skjermingsbehov for de aktuelle personopplysningene.
Ved bruk av digitale verktøy i arbeidssammenheng behandles det normalt visse personopplysninger om de ansatte som skal benytte verktøyet. Eksempler på dette er:
- Bruk av skytjenester: Når man tar i bruk en skytjeneste i en virksomhet, vil skytjenesteleverandøren normalt ha behov for personopplysninger om de ansatte for å kunne gi kontrollert tilgang til verktøyet. Dette kan være opplysninger som navn, e-post på jobb, telefonnummer på jobb, rolle i systemet, stilling, og virksomhetstilhørighet.
- Arbeidsverktøy basert på skyteknologi: Det brukes mange spesialiserte verktøy i arbeidssammenheng. Disse kan bygge på skyteknologi. Ofte er ikke målet å behandle personopplysninger, men det kan være nødvendig informasjon for å ha brukere i verktøyet. Virksomheten og / eller ansatte og andre som utfører oppgaver for virksomheten må derfor i mange sammenhenger oppgi personopplysninger. Normalt er dette tjenester som er "hyllevare" hvor både tjenestene og avtalevilkårene som utgangspunkt er helt standardisert.
- Drift- og supporttjenester: For å kunne yte drift- og supporttjenester eller ordinær kundebehandling kan det være nødvendig med visse opplysninger om ansatte.
Avhengig av hvordan tjenesten er satt opp, kan bruken medføre at noen av disse opplysningene om ansatte blir overført til tredjeland. Mange av leverandørene er amerikanske og det er særlig derfor overføring til USA som er aktuelt.
For overføringer regulert med bruk av SCC legger koordineringsarbeidet til grunn at den registrerte ikke har et absolutt vern mot personvernrisikoer etter EMK artikkel 8. Det må foretas en helhetsvurdering hvor det avgjørende er at overføringen ikke utgjør et større inngrep i den registrertes rettigheter enn det som er nødvendig i et demokratisk samfunn. Dette innebærer en proporsjonalitetsvurdering hvor inngrepets størrelse sammenholdes med rettsikkerhetsmekanismer og eventuelle ytterligere tiltak. Som beskrevet her, sammenfaller arbeidsgruppens syn i stor grad med Datatilsynet og EDPBS steg 3 (Vurder om overføringsgrunnlaget vil være effektivt i lys av alle omstendighetene ved overføringen.)
Vurderingstemaet her blir om en SCC, ved overføring av arbeidsrelaterte opplysninger til et tredjeland med etterretningslovgivning som påvirker den registrertes rettigheter, gir tilstrekkelige rettssikkerhetsmekanismer slik at inngrepet som overføringen medfører ikke går lenger enn det som er nødvendig i et demokratisk samfunn.
For å avgjøre hvor stort inngrepet i den registrertes rettigheter er, må en vurdere risikoen for at tredjelands myndigheter får tilgang til opplysningene. Det er alltid en risiko, det avgjørende er størrelsen på risikoen. I det følgende tar vi utgangspunkt i teksten Hjelp til å vurdere personvernrisikoen for etterretning for å gjennomføre denne vurderingen.
En enkel sjekkliste er vedlagt og kan benyttes for å kartlegge grunnlaget for en helhetlig vurdering av konkrete momenter som kan ha betydning. Vi ser da utelukkende på de arbeidsrelaterte opplysningene som skal brukes ved tilgang til verktøyet. [vedlegget blir tilgjengelig snart]
I vurderingen legger vi til grunn at virksomheten kjenner sin overføring, og at det foreligger lovlig overføringsgrunnlag (SCC eller annet overføringsgrunnlag) for den aktuelle behandlingen. Vi avgrenser også vurderingen mot overføring til andre land enn USA pga. mindre kunnskap om andre tredjelands lovgivning og faktiske personvern, men samme tilnærming kan legges til grunn ved overføring til andre tredjeland enn USA.
En forutsetning for vurderingen er at det er iverksatt relevante og tilpassede sikkerhetstiltak som en bør kunne forvente for et verktøy eller en tjeneste, særlig kryptering på transport slik som TLS 1.2 eller høyere. Utgangspunktet for alle verktøy og tjenester som skal tas i bruk er at de må følge PVF , og at dette gjenspeiles i databehandleravtalen (forutsatt at det er et databehandlerforhold) eller personvernerklæringen slik at tjenesten/verktøyet har et minimumsnivå av sikkerhet og garantier for databehandling.
Det er viktig å ha oversikt over all informasjon som overføres. Mengden data som overføres kan påvirke graden av inngrep og få betydning for vurderingen av om behandling fra etterretningsmyndigheter i tredjelandet overstiger terskelen for det som må anses som nødvendig og forholdsmessig i et demokratisk samfunn.
2 Informasjon knyttet til den registrertes rolle i virksomheten
Dersom verktøy brukes i en arbeidssammenheng kan dette tilsi at dette sier mindre om den registrerte enn dersom tilsvarende verktøy brukes privat. Arbeidsoppgavene gjøres i konteksten som ansatt, og den ansatte vil typisk måtte bruke verktøy som blir stilt til disposisjon av arbeidsgiver. Denne typen personopplysninger sier mer om rollen og oppgavene og mindre om personen og dens private aktiviteter. Oftest er det også snakk om opplysninger som er offentlig tilgjengelige på annen måte og hvor etterretningen ikke er avhengig av krav om utlevering for å få tak i dem. For eksempel kan denne informasjonen ligge åpent tilgjengelig på internett.
Kort sagt vil man helt konkret vurdere om man skal overføre personopplysninger som navn, jobbtittel, roller, e-postadresse, telefonnummer og virksomhetstilhørighet. Opplysninger som kan gi informasjon om IP-adresse, tidspunkt for pålogging og varighet, lokasjonsdata med mer vil være informasjon som kan følge med.
2.1 Kontaktopplysninger
Den ansattes navn, e-postadresse og telefonnummer er kontaktopplysninger om en enkeltperson som brukes for å adressere denne enkeltpersonen ved å sende e-post ment for ham/henne eller å kunne ringe til eller sende melding til ham/henne for å oppnå kontakt. I en del tilfeller vil det være andre enn ansatte som har tilgang til et verktøy for å utføre oppgaver for virksomheten, for eksempel eksterne konsulenter. Det kan også være at verktøy brukes på tvers av virksomheter, for eksempel i prosjekter eller arbeidsgrupper.
Disse kontaktopplysninger gir ikke mer informasjon om den enkelte enn at hun/han er identifisert ved navn, kontaktbar som ansatt med virksomhetens e-postadresse eller kontaktbar som seg selv/ansatt med telefonnummer. Opplysningene er ment å brukes og utveksles, slik at den ansatte kan utføre sine oppgaver og både bli kontaktet og samhandle (digitalt og fysisk). Dette gjelder både innad i virksomheten og utenfor virksomheten.
2.1.1 E-postadresse
E-postadresser kan ha en informasjonsbærende eller ikke-informasjonsbærende oppbygging. Det vanligste er informasjonsbærende epostadresse, siden det gjør det enklere å avklare bare ved å se på adressen at det er riktig mottaker man skal sende e-post til. En ikke-informasjonsbærende e-postadresse der adressen f.eks. består av tall, et løpenummer, gir mindre oversikt i den praktiske hverdagen. En slik e-postadresse vil som regel heller ikke være anonym, siden virksomheten nødvendigvis må holde oversikt over hvilke e-postadresser som disponeres av hvilke medarbeidere.
Virksomheter har ofte retningslinjer mot at ansatte bruker sin epostadresse fra jobb i private sammenhenger eller bruker sin private epost for å registrere seg på jobbrelaterte tjenester. Etterlevelse av slike retningslinjer vil styrke vurderingen om at jobbrelatert epostadresse i mindre grad kan kobles til personens private aktiviteter.
2.1.2 Telefonnummer
Telefonnummer er i en mellomposisjon siden det er vanlig å bruke jobbtelefonen også privat. Det er også vanlig å beholde et telefonnummer selv om man bytter jobb. Et telefonnummer kan dermed fort oppleves som en mer privat informasjon enn en e-postadresse tildelt av arbeidsgiver.
Det er likevel ikke snakk om informasjon som normalt vil bli beskyttet mot bruk, tvert imot er dette for de fleste offentlig og lett tilgjengelig informasjon. Dersom det er lagt inn reservasjon mot nummeropplysning/nummervisning vil virksomheten måtte vurdere årsakene til dette, og om disse også tilsier et særskilt skjermingsbehov når opplysningene eventuelt overføres til tredjeland.
2.2 Påloggingsaktivitet
Opplysninger om brukeren og bruken må ofte behandles av en leverandør for å kunne yte tjenesten. Det er viktig for virksomheten å ha oversikt over hva leverandører registrerer og hvordan dette brukes og eventuelt slettes. Denne typen behandling vil normalt være forutsigbar for den ansatte, og være støttet av informasjon i virksomhetens personalhåndbok, sikkerhetsinstruks og/eller personvernerklæring.
3 Forholdet mellom metadata og innholdsdata
Som det er beskrevet i punkt 2 i "Hjelp til å vurdere personvernrisikoen for innhenting til etterretningsformål", er det særlig metadataen som kan direkte bli samlet av tredjelands myndigheter ved overføring av personopplysninger til dette landet. Forutsatt at det er implementert tilstrekkelig transportlagskryptering, vil ikke myndighetene direkte kunne nyttiggjøre seg av innholdsdataen.
For at tredjelands myndigheter skal få tilgang til opplysningene i innholdsdataen, vil de måtte gå via skytjenesteleverandøren. Dette vil kunne skje via utleveringsbegjæringer. Denne risikoen synes imidlertid å være den samme enten det overføres eller ikke. Det avgjørende for denne risikoen er hvorvidt leverandøren er underlagt etterretningslovgivning som gir grunnlag for slik utlevering og hvorvidt de utleverer i praksis.
Når det gjelder informasjon i metadataen, vil IP-adresser kunne være personopplysninger. Hvorvidt denne IP-adressen imidlertid vil lede til en person beror på flere forhold. Dette er beskrevet nærmere i Hjelp til å vurdere personvernrisikoen for innhenting til etterretningsformål punkt 2.3.2.1.
For opplysninger som behandles i arbeidssammenheng, kan virksomheten ha iverksatt tiltak som sikrer at man ikke viser den enkeltes IP-adresse når man bruker tjenesten fra kontornettet (som også kan omfatte hjemmekontorløsning med bruk av VPN), men heller viser en proxyadresse til virksomheten.
Hvis man sitter andre steder enn på kontornettet, er det typisk den aktuelle internettleverandøren som holder oversikt over hvilken IP-adresse du har fått tildelt. Informasjonen slettes normalt etter 21 dager. Leverandøren har i denne perioden oversikt over hvilken IP-adresse som er tildelt hver abonnent, noe som er grunnen til at IP-adresser anses som personopplysninger. Det er ikke selvsagt at amerikanske myndigheter enkelt kan kreve innsyn i brukere av IP-adresser så lenge internettleverandøren ikke er amerikansk. De fleste internettleverandører i Norge er ikke det.
4 Den behandlingsansvarliges helhetsvurdering
Som beskrevet innledningsvis må det ved bruk av amerikanske skytjenester som innebærer en overføring av opplysninger ut av EU/EØS må det foretas en helhetsvurdering i henhold til GDPR kapittel V, Schrems II, EMK artikkel 8 og veiledning fra EDPB og Datatilsynet. Vurderingstemaet her blir ombruk av SCC, ved overføring av arbeidsrelaterte opplysninger til et tredjeland med etterretningslovgivning som påvirker den registrertes rettigheter, gir tilstrekkelige rettssikkerhetsmekanismer slik at inngrepet som overføringen medfører ikke går lenger enn det som er nødvendig i et demokratisk samfunn.
Den registrerte har ikke et absolutt vern mot personvernrisiko etter EMK artikkel 8. I de tilfellene hvor overføringen bare gjelder den typen opplysninger som er gjennomgått her er arbeidsgruppens vurdering at de arbeidsrelaterte opplysningene har lav konfidensialitetsinteresse fordi de ofte er offentlig kjente og/eller ment å være tilgjengelige, og dermed krever lite vern.
Videre synes sannsynligheten for at amerikanske myndigheter vil få tilgang til disse opplysningen gjennom den aktuelle behandlingen nokså lav. Arbeidsgruppen legger til grunn at det bare er opplysninger metadataen som vil kunne samles inn direkte av amerikanske myndigheter. Les mer i punkt 2 i Hjelp til å vurdere personvernrisikoen for etterretning. Amerikanske myndigheter vil ofte kunne gå via skytjenesteleverandøren med en utleveringsbegjæring. Det kan du lese mer om her. Dette kan imidlertid skje uavhengig av om det skjer en overføring. For opplysninger som behandles i arbeidssammenheng synes uansett sannsynligheten for at dette skjer å være nokså lav. Dette begrunnes av statistikk fra leverandørene samt beskrivelsene i vedlegg 1 her.
Inngrepet i retten til privatliv synes altså å være nokså lav ved en overføring av arbeidsrelaterte opplysninger. Inngrepet bør likevel sammenholdes med eksisterende rettsikkerhetsmekanismer og eventuelle ytterligere tiltak. For overføringer basert på SCC finnes det rettssikkerhetsmekanismer i EU/EØS med tilgang til domstoler og tilsynsmyndigheter slik det er beskrevet i Hjelp til å vurdere personvernrisikoen for etterretning Punkt 3.4.
Etter dette er det arbeidsgruppens vurdering at en overføring normalt kan skje uten å iverksette ytterligere tiltak utover de standard sikkerhetstiltak som tilbys i tjenesten og som vurderes som tilstrekkelige i lys av bl.a. personvernforordningens artikkel 32, jf. artikkel 28 nr. 1.
I noen tilfeller kan det imidlertid foreligge spesielle skjermingsbehov for de aktuelle personopplysningene. Hvis det er særskilte skjermingsbehov må den behandlingsansvarlige vurdere om det er nødvendig med særlige tiltak for å hindre at leverandøren - og i forlengelsen tredjelands etterretning - har tilgang til opplysningene. Vurderingen bør også ta høyde for den type behandling som utføres, mengden personopplysninger som overføres og hvor ofte overføring skjer. Den vedlagte sjekklisten kan benyttes for å strukturere vurderingene [sjekkliste kommer snart].
Vedlegg 1: Utlevering til etterretningsmyndigheter i USA - praksis
Det amerikanske Department of Commerce har publisert et White Paper om situasjonen knyttet til utlevering av informasjon til amerikanske myndigheter etter Schrems II.
På side 3 står følgende som underbygger at ansattinformasjon ikke er etterspurt fra amerikanske myndigheter:
"Companies whose EU operations involve ordinary commercial products or services, and whose EU-U.S. transfers of personal data involve ordinary commercial information like employee, customer, or sales records, would have no basis to believe U.S. intelligence agencies would seek to collect that data."
På side 8 beskrives det at administrative personopplysninger kan være såkalte "selectors" iht. FISA 702 som spesifiserer enkeltpersoner som myndighetene søker informasjon om:
"The targeting procedures approved by the FISC are binding on the government and specify how a “selector”—an account identifier such as an email address or telephone number of an individual—may be “tasked” to acquire the type of foreign intelligence specified in the certification."
Slik vi leser dette er det altså ikke de administrative opplysningene som etterspørres i seg selv – de foreligger vanligvis på forespørselstidspunktet, men heller andre, mer spesifikke opplysninger som gir etterretningsinformasjon. Hvis personopplysningene som overføres kun er slike identifikatorer, vil det dermed ikke ha verdi for myndighetene og neppe medføre et inngrep i personvernet.
Det er uttrykt i EDPBs veileder at et element i vurderingen er om en bransje har erfaringer med utleveringskrav eller ikke. Nederst på side 3 i White Paper står følgende utsagn der Department of Commerce kommenterer informasjon om tjenesteleverandører som har fått/ikke har fått utleveringskrav:
"Indeed, the overwhelming majority of companies have never received orders to disclose data under FISA 702 and have never otherwise provided personal data to U.S. intelligence agencies. Neither would such companies have any indication that a U.S. intelligence agency has sought to obtain their data unilaterally outside the United States under the authority of EO 12333."
Department of Commerce uttrykker her generelt at det overveiende flertallet av tjenesteleverandører ikke har fått utleveringskrav.
Noen av de større leverandørene har i tillegg tydelige løfter i sine vilkår om at de rutinemessig bestrider alle utleveringskrav. I den grad et utleveringspålegg blir omfattet av pålegg om hemmelighold vil man imidlertid ikke kunne vite om personopplysninger er utlevert. Leverandørene kan ha mer informasjon i sine vilkår.
Som et eksempel på selskaper som faktisk har kommentert situasjonen med utlevering eksplisitt overfor kunder som inngår i offentlig sektor viser vi til at Microsoft har publisert et White paper der det fremgår at de pr. januar 2022 ikke har utlevert data fra kunder i offentlig sektor i EU, verken til etterretning eller andre formål.
Vedlegg 2: Eksempler
Eksempel fra Norge om brukeridentifikasjon
Norsk Helsenett SF har spurt Datatilsynet konkret om bl.a. overføring av "opplysninger om brukerident". Datatilsynet legger i sitt svar til grunn at slike opplysninger kan føre til en annen vurdering enn for andre personopplysninger. Først må man vurdere om det vil kunne skje et inngrep, og deretter om inngrepet vil være nødvendig og proporsjonalt. Det er proporsjonalitetsvurderingen som er særlig relevant her. Et element i vurderingen av om et inngrep er proporsjonalt, vil kunne være om personopplysningene det er snakk om allerede er offentlig tilgjengelige i tredjelandet. Det fremgår i svaret at myndigheters innhenting av offentlige personopplysninger, lettere vil kunne utgjøre et proporsjonalt inngrep enn innhenting av opplysninger som ikke er tilgjengelig for allmenheten.
Eksempel fra Storbritannia om kontaktopplysninger
Storbritannia har implementert EUs personvernregelverk, og står på EU-kommisjonens liste over godkjente tredjeland. I det britiske datatilsynet (ICOs) utkast til veileder om transfer risk assessment (TRA) er det uttalt at kontaktopplysninger vil ha lav risiko både når det gjelder ansatte hos en virksomhet (i et arbeidsforhold), og når det gjelder kunder og andre personer ("members of the public"). Dette gjelder også når de opplysningene det gjelder er "in the public domain", dvs. er eller kan være offentlig kjent. Et annet poeng fra denne veilederen er at en faktor som kan senke risikoen er at den registrerte eksplisitt informeres om risikoen ved overføring og deretter godkjenner en spesiell overføring. En annen faktor som trekkes fram i veilederen er om overføringen skjer til et anerkjent globalt selskap, eksemplifisert som en stor skytilbyder ("major cloud hosting provider"). Dette er antagelig uttrykk for at ICO mener man kan ha større tillit til store profesjonelle aktører. Samtidig kjenner vi godt til de andre problemene med slike aktører som er underlagt etterretningslovgivning, slik at dette må vurderes konkret.
Eksempel fra Nederland – Ministry of Justice and Security
Nederlandske Ministry of Justice and security gjennomførte I 2021 en DPIA med formål å vurdere beskyttelsesrisikoen ved bruken av MS Teams i kombinasjon med OneDrive, Sharepoint Online og Azure Active Directory. Det ble her fokusert på overføring og prosessering av diagnostiske data, men man beskriver også her data som omhandler andre opplysninger som potensielt kan overføres til USA.
Vi peker her på noen forskjellige tilfeller der utfallet er lave databeskyttelsesrisikoer:
Overføring av begrensede diagnosedata og tilfeldig overføring av beskyttelsesverdige data utgjør begge en risiko. Disse risikoene er i den nederlandske vurderingen fremstilt som aksepterbar, da disse risikoene vil reduseres senest innen utgangen av 2022 etter fullføringen av Microsoft EU-Data boundary. I dette ligger det at alle innholdsdata, diagnosedata, kontorstøttedata skal behandles i Microsoft sine datasentre innen EU.
Noen personopplysninger vil allikevel overføres til USA i den hensikt å oppdage og løse sikkerhetshendelser, men disse overføringene vil være tilfeldige og vil vanligvis være pseudonymiserte og aggregerte.
Det er allikevel et unntak i Microsoft sin garanti for at tjenesten ikke benytter data som inneholder direkte identifiserbare (lesbare) brukernavn/e-postadresse eller dokumentnavn: For OneDrive kan Microsoft samle inn brukernavn og/eller e-postadresse sammen med navn og filbane med fullt navn til dokument. Ifølge Microsoft er dette nødvendig blant annet for funksjonalitet som gjelder dokumentdeling der flere skal ha tilgang til det samme dokumentet.
Kontakt
Markedsplassen er under utvikling. Har du spørsmål eller tilbakemeldinger? Ta kontakt med oss!
E-post: markedsplassen [at] dfo.no (markedsplassen[at]dfo[dot]no)