DEBATT: Du trenger ikke alltid SCC i tredjeland – og det kommer enda en ny SCC

[Redaksjonen.]

DEBATT: Du trenger ikke alltid SCC i tredjeland – og det kommer enda en ny SCC

[Leorand]

Fryktelig mye tåkeprat på et område hvor risikovurderingen kan oppsummeres i et veldig konkret og enkelt spørsmål: "Kan du akseptere at andre enn norsk rett avgjør en begjæring om innsyn i dine data?". 

 

Og Datatilsynet er krystallklare: "Både sending av data og fjerntilgang regnes som overføring av personopplysninger"

 

For amerikanske leverandører så kommer man ikke unna trusselen som ligger i FISA 702. Dessverre så ser mange norske virksomheter ut til å lete med lys og lykte etter smutthull de kan bruke for å kunne "kjøre på" med løsningen de ønsker. Spesielt trist er det når offentlige etater tråkker ut i dette og tilgjengeliggjør mine opplysninger hos amerikanske tjenester... Her håper jeg Riksrevisjonen bestemmer seg for å ta noen kontroller på etterlevelsen av GDPR, og da setter et ekstra søkelys mot kvaliteten på risikovurderingene som er gjort.

Endret 3. desember 2021 av Leorand
formatering

[tovare]

Datatilsynet vil nok oppdatere retningslinjene i tråd med de de nye avklaringene når dette er ferdig på nyåret.

Det er et praktisk problem i mange tilfeller å ikke kunne samarbeide med andre land.

[Leorand]

23 hours ago, tovare said:

Det er et praktisk problem i mange tilfeller å ikke kunne samarbeide med andre land.

Det er også et praktisk problem når et land har lover ala FISA 702. Så lenge de er tilstede, må risikovurderingene ta høyde for de. Samarbeid uten gjensidig tillit, må vel sies å være problematisk? 

[tovare]

Veldig, vi er tett knyttet til USA: økonomisk, militært og i etterretning, dette krever tillit.

Hvis det det er praksis i landet å spionere mot oss, tenker jeg det må få konsekvenser utover at noen jurister hos datatilsynet ivaretar det regelverket. Denne saken burde nok aldri ha blitt lempet ukritisk i en så uavklart form på hele næringslivet IMHO, men der er vi.

[fatfinger]

Ville nok ikke basert meg på at det er greit å overføre personopplysninger til utviklere i tredjeland på mer eller mindre permanent basis, uten å oppfylle kravene i GDPR for overføringer til tredjeland.

Eksempelet som benyttes i retningslinjene er "Employee of a controller in the EU travels to a third country on a business trip", som er noe ganske annet enn å ha utviklere stasjonert i utlandet på mer eller mindre permanent basis. Selv om det teknisk sett skulle dreie seg om overføring innenfor samme selskap. Uansett vil man måtte foreta en risikovurdering og iverksette avhjelpende tiltak, som gjør at situasjonen neppe fremstå som et unntak fra overføringsregelene i praksis.

[Leorand]

On 12/7/2021 at 7:07 AM, tovare said:

Veldig, vi er tett knyttet til USA: økonomisk, militært og i etterretning, dette krever tillit.

Hvis det det er praksis i landet å spionere mot oss, tenker jeg det må få konsekvenser utover at noen jurister hos datatilsynet ivaretar det regelverket. Denne saken burde nok aldri ha blitt lempet ukritisk i en så uavklart form på hele næringslivet IMHO, men der er vi.

Anbefaler å søke etter "Operation Socialist" og se hvem som gjorde hva mot hvem. Hint: To NATO land som angriper infrastruktur hos et tredje NATO land... Dette er en av noen få eksponerte saker som er dokumentert godt nok til at vi kan fastslå aktør. Det finnes noen få til, men poenget er at tillit er noe man skal være forsiktig med, og bør følges opp med effektive kontrollmekanismer.

Utfordringen med amerikansk lov i denne sammenhengen, er nettopp at vi ikke har noen effektive kontrollmekanismer. USA kan bruke egen lov til å forbigå kontrollmekanismene for å hente ut de dataene de måtte ønske, uavhengig av avtaler leverandørene måtte ha med sine kunder. Så i praksis er ikke SCC verdt papiret det er skrevet på, når det kommer til USA og amerikanske leverandører. Dessverre!