Meny
I denna gästartikel diskuterar Mathilda Kronér och Henrik Almström från den svenska advokatfirman Morris Law vikten av att säkerställa ett tillräckligt skydd av personuppgifter vid valet av leverantör för visselblåsartjänster.
Mot bakgrund av de omfattande böter för brott mot GDPR som den irländska dataskyddsmyndigheten utfärdade 22 maj (efter bindande beslut från Europeiska dataskyddsstyrelsen), bör företag granska sina rutiner för GDPR-efterlevnad för att säkerställa laglig hantering i samband med hantering av personuppgifter. Det är särskilt viktigt när det gäller överföring av personuppgifter till tredje land, till exempel USA. Behovet av att säkerställa efterlevnad och säkra överföringar av personuppgifter är, ur ett ekonomiskt perspektiv, nu mer relevant än någonsin.
Boten på 1,2 miljarder euro som tilldelats Facebooks ägare Meta är rekordhög och sätter ett tydligt varnande exempel framåt avseende konsekvenser av missbruk av enskilda individers personuppgifter vid överföring av data från EU till USA.
En visselblåsarsituation är till sin natur att betrakta som känslig. Processen involverar ofta känsliga personuppgifter som antingen faller inom ramen för de kategorier som anges i artikel 9 GDPR eller uppgifter om brott som anges i artikel 10 GDPR. Mot bakgrund av ovanstående är det viktigt att implementera rutiner för att säkerställa att behandlingen av uppgifterna är korrekt och säker. Vid val eller tillhandahållande av visselblåsartjänster bör därför säkerheten alltid vara i fokus.
Visselblåsartjänster innebär vanligtvis överföring av de personuppgifter som ingår i visselblåsningen till det företag som agerar tjänsteleverantör. Det är därför viktigt att agera med försiktighet i valet av leverantörer samt underleverantörer och säkerställa leverantörens GDPR-efterlevnad, särskilt eftersom överföringen kan innebära behandling av känsliga personuppgifter. Överföring av personuppgifter inom EU/EES är säkert och noggrant harmoniserat genom GDPR.
Den uppmärksammade Schrems II-domen, som ogiltigförklarade EU-kommissionens Privacy Shield-beslut som skyddsåtgärd vid överföring av uppgifter till USA, har lett till strikta rättsliga krav på sådana överföringar av uppgifter till USA. Standardavtalsklausulerna (SCC) som är den kvarstående skyddsåtgärden vid överföring till tredje land, måste efter Schrems II kompletteras med ytterligare skyddsåtgärder för att säkerställa överföringarnas laglighet.
Nämnda krav avser inte enbart USA-baserade tjänsteleverantörer och servrar som är baserade i USA, utan även EU-baserade tjänsteleverantörer och servrar som kan komma att omfattas av kraven om de agerar under kontroll av amerikanska företag. Sådana tjänsteleverantörer kan till exempel befinna sig inom EU men använda hostingtjänster från amerikanska leverantörer, såsom Amazon eller Azure.
Eftersom visselblåsning är nära kopplat till hantering av känslig information bör företag se till att det är säkert att slå larm. Både för intern regelefterlevnad och för att skydda visselblåsarens integritet.
Vid användning av en extern visselblåsartjänst kommer tjänsteleverantören i de flesta fall att agera som personuppgiftsbiträde medan företaget som köper tjänsten kommer att anamma rollen som personuppgiftsansvarig. Eftersom ditt företag sannolikt agerar som personuppgiftsansvarig när du köper en visselblåsartjänst, är det även ditt företags ansvar att säkerställa tillämpningen av lämpliga skyddsåtgärder under hela behandlingskedjan. Detta innebär att ditt företag har en skyldighet att se till att säkerheten inte äventyras i något led i kedjan, exempelvis till följd av bristande skyddsåtgärder hos en leverantör.
Till att börja med bör ditt företag aktivt ta på sig ansvaret som personuppgiftsansvarig. Både när företaget anlitar en ny leverantör och när företaget granskar en befintlig leverantör är det lämpligt att begära information om tjänstens rättsliga efterlevnad. Detta återspeglas i artikel 28.1 GDPR där det anges att ”den personuppgiftsansvarige endast ska anlita personuppgiftsbiträden som lämnar tillräckliga garantier” för att säkerställa att behandlingen är förenlig med GDPR. I en värld som präglas av efterdyningarna av Schrems II, nu ytterligare understruket av Metas böter, bör företag begära och tillhandahållas betryggande information om tjänsters förenlighet med GDPR. Att anlita (eller fortsätta anlita) en leverantör som inte kan ge betryggande svar på åtminstone följande frågor kan vara riskabelt för ditt företag.
För att säkerställa att er visselblåsartjänst är GDPR-kompatibel är det bäst att använda en europeisk leverantör eller underleverantör. Om det är oundvikligt att använda en amerikansk tjänst måste ditt företag säkerställa att eventuella amerikanska leverantörer och underleverantörer kan visa dokumentation på att deras behandling av personuppgifter är förenlig med GDPR.
Medan de två första frågorna ger enkla svar, kan sista frågan innebära komplexa bedömningar av vad som är (o)tillräckligt. Enligt GDPR ligger risken för sådana bedömningar hos den personuppgiftsansvarige, ofta med enbart begränsade möjligheter att avtalsmässigt överföra risken till leverantören/personuppgiftsbiträdet.
Med tanke på Metas böter är det relevant att göra en allmän översyn av riskexponeringen vid användandet av utomstående leverantörer, och visselblåsartjänster bör ligga högt upp på prioriteringslistan.
Besök Morris Law hemsida för att bekanta dig med deras tjänster.
Interaktiv Säkerhet har i mer än 10 år fungerat som leverantör av visselblåsartjänster till nöjda kunder. Vår visselblåsartjänst är tillgänglig på din egen webbplats dygnet runt. Vi erbjuder 35+ språk i vårt skräddarsydda, användarvänliga digitala visselblåsarsystem. Alla data lagras på servrar inom Europa, i enlighet med GDPR. Boka en gratis demo redan idag!
Har du frågor om artikeln eller andra funderingar, kontakta oss så berättar vi gärna mer.
Brådskande ärenden för befintliga kunder
Norrgatan 10, 432 41 Varberg
[email protected]
+46 (0)707 39 03 80
[email protected]
+46 (0)707 39 03 80
[email protected]
+46 (0)707 39 03 80
