Det har gått snart två år sedan EU-domstolen ogiltigförklarade det vanligaste verktyget för lagliga dataöverföringar mellan EU och USA och samtidigt uttalade att Standardavtalsklausuler (SCC:er) kräver ytterligare åtgärder för överföringar till specifikt USA. För att, på laglig väg, använda molnbaserade HR-system behöver ni genomföra en djupare analys enligt de obligatoriska steg som vi, i detta blogginlägg, går igenom.
Schrems II – nådastöten för Privacy Shield och vägen framåt
Privacy Shield var ett regelverk för dataöverföringar mellan EU och USA, som, redan när det trädde i kraft, ifrågasattes av europeiska dataskyddsaktivister. Frågan kring Privacy Shields varande eller icke-varande var alltså inte en blixt från en klar himmel den 16 juli 2020, utan hade varit på tapeten sedan 2016. Varför det inte uppmärksammades redan då var för att dataskydd inte blev mainstream förrän 2018, när organisationer hade fullt upp med att upprätta behandlingsregister och göra mailutskick (och det mesta var väldigt rörigt när det kom till personuppgifter).
EU-domstolens mycket uppmärksammade dom, Schrems II, innebar för HR bland annat stora begränsningar i möjligheterna att på laglig väg använda tjänster som bygger på de amerikanska molnjättarnas infrastruktur. Detta eftersom domslutet, dvs. ogiltigförklarandet av Privacy Shield samt ifrågasättandet av SCC:er, innebar att det vid tidpunkten för domen saknades alternativa tillvägagångssätt.
Vi utredde undantagen i artikel 49 som lösning på utevaron av alternativ men förstod snabbt begränsningarna i ett sådant upplägg, inte minst när det kommer till HR-data. Som exempel ska det i teorin vara okej att, i undantagsfall, överföra data baserat på den enskildes samtycke. När det kommer till HR anser såväl Europeiska Dataskyddsstyrelsen som Integritetsskyddsmyndigheten att maktobalansen i ett anställningsförhållandet gör anställdas samtycke presumtivt ogiltigt.
En annan lösning för, åtminstone multinationella företag, var att upprätta s.k. Binding Corporate Rules, som för de flesta organisationer är dyra och tidskrävande att implementera och något som få HR-avdelningar ensamt kan stå kostnaden för.
Nu när dammet delvis har lagt sig efter Schrems II går det att, på ett mer konstruktivt och strategiskt sätt, arbeta med dataöverföringar till USA igen.
Riskerna ska utgå ifrån den registrerades, era anställdas perspektiv
Det är lätt att som organisation stirra sig blind på risken för astronomiska sanktionsavgifter från tillsynsmyndigheten, och glömma bort själva syftet med GDPR. Varenda en av GDPR:s bestämmelser finns för att värna om rätten till privatliv och personlig integritet. Med det sagt är GDPR inte en ”one-size-fits-all”, med hänsyn till vad som är viktigt för den enskilde anställda – lika lite som två HR-avdelningar sällan har exakt samma behov. Utan denna nyansering är det lätt att begå tankevurpan att HR-system aldrig kan vara molnbaserade, till följd av Schrems II.
Frågan ni behöver ställa er själva är ”hur skulle våra anställda, generellt sett, se på den tjänst som vi funderar på att implementera, utifrån ett integritetsperspektiv?”. Eller, använd ditt sunda förnuft. Ett system som hanterar oändligt känsliga data, som ett visselblåsarsystem, eller ett mer eller mindre heltäckande system som hanterar stora mängder data inkluderar helt andra typer av risker än en molntjänst som förenklar schemaläggning för personalansvarig.
En metodisk överföringsanalys (Transfer-Impact-Assessment)
Att uppnå GDPR-efterlevnad kräver att er organisation genomför en analys av varje situation utifrån den grundläggande metodik som Europeiska Dataskyddsstyrelsen tagit fram. Den metodiken finns att läsa i sin helhet här. Er analys ska bestå av, åtminstone, följande sex steg:
Kartlägg dataflöden: vilka personuppgifter, vems personuppgifter och var dessa rör sig. Lokalisera vilka leverantörer som organisationen använder sig av utanför EU och analysera dataskyddslagarna i det land som du riskerar att överföra personuppgifter till. Notera särskilt i vilken utsträckning data överförs till USA.
Identifiera överföringsverktyg och utred tillräckligheten hos tillämplig överföringsmekanism. Utred möjligheten att använda er av SCC:er som legalt överföringsverktyg. Observera att när tredje land är USA är det inte tillräckligt att använda SCC som enda mekanism.
Dissekera tredje lands lagstiftning. Vad finns skrivet om tredje lands dataskyddslagar och vad har leverantören gjort för bedömning i fråga om tredje lands lagar?
Uppnå lämplig skydd med ytterligare åtgärder. Överväg vilka tekniska kontroller som kan adderas och konstruera eventuellt ytterligare säkerhetsåtgärder för att komplettera befintliga avtal. Besvara frågor som:
Är det möjligt att använda sig av europeiska molnleverantörer?
Går det att ha delar av systemet i molnet och resten on prem?
Omfattas vår verksamhet av ytterligare skyddskrav utöver GDPR som vi måste ta hänsyn till?
Planera för samråd med IMY: sätt en tidsplan för analysen och för när ni kan begära och förhoppningsvis inleda förhandssamråd med Integritetsskyddsmyndigheten. Se till att ha er sekretessbegäran redo att lämna in i samband med begäran.
Upprepa och uppdatera! Din bedömning är en ögonblicksbild som kommer att ändras. Sådana ändringar ska speglas i analysen.
Ni ska kunna visa vad ni har gjort!
Med GDPR:s grundläggande krav på dokumentation i ryggen är det i fråga om denna typ av bedömningar än mer viktigt att skriva ner alla överväganden ni gjort. Det är precis lika viktigt att dokumentera de åtgärder som vidtagits som de åtgärder som inte har vidtagits och varför. Det är också viktigt att omvärdera dessa åtgärder att lämpliga intervall.
I skrivande stund är en politisk överenskommelse fattad mellan Biden-administrationen och Ursula von der Leyen kring åtgärder mot ett Privacy Shield 2.0. I dagsläget finns inget förslag på upplägget publicerat. men för att blidka EU-domstolen, och för trygga dataöverföringar på längre sikt, krävs att USA begränsar möjligheterna för sina säkerhetsmyndigheter att bedriva signalunderrättelser och upprättar en oberoende rättsprocess för EU-medborgare att få sin sak prövad.
Håll utkik på Knowits blogg för uppdateringar om läget för dataöverföringar till USA!