Vurdering av personopplysninger til tredjeland med SCC

Dette er en vurdering av om overføring av personopplysninger kan skje til land utenfor EØS (tredjeland) basert på EUs standard kontraktsbestemmelser (SCC). Vurderingen er basert på EUs personvernråds (EDPB) veileder. Merk at også behandling innenfor EØS eller tredjeland godkjent av EU-kommisjonen vil kunne måtte vurderes bl.a. om opplysningene reelt overføres til tredjeland, om det er tilgang til opplysningene fra tredjeland, om selskapet innenfor EØS er registrert og etablert innenfor EØS.

  1. HVILKE PERSONOPPLYSNINGER SKAL OVERFØRES TIL TREDJELAND ELLER TIL LEVERANDØR INNENFOR EØS?
    1. Avtale

Hvilken avtale gjelder behandlingen for? Dvs. leveranseavtale som overføringen skjer under, og som evnt. Databehandleravtale er knyttet til.

Avtale om billettservice for lunabe.no via VBO tickets.
  1. Personopplysninger

Type opplysninger, opplysningenes følsomhet, opplysninger om barn, særlige kategorier opplysninger, hvor omfattende opplysningene er (om mange registrerte og/eller mange opplysninger om de enkelte registrerte) som skal overføres.

Navn, e-postadresse, telefonnummer, adresse, fødselsnummer, betalingskortopplysninger, fremmøte på arrangement, samt opplysninger om salg av tilknyttede tjenester og produkter.  
  1. Behandling

Hensikten med overføringen og behandlingen som omfattes, som markedsføring, HR, lagring, support, mv. Om opplysningene blir lagret i tredjelandet eller om det er tilgang til opplysninger lagret innenfor EØS fra tredjeland.

Sammenlignet med alle reviderte europeiske leverandører, tilbyr Microsoft Azure fordelen med rask, smidig programvareutvikling ved å tilby forskjellige verktøy / biblioteker som forenkler utviklingen. Microsoft Azure er også skalerbar for billettsalg med høye topper og høye bestillingstall (e.b 10 000 billetter per minutt), samt en garanti for høy ytelse, til en relativt lav pris sammenlignet med andre leverandører. I tillegg er MS Azure den eneste konsekvente hybridskyen som gjør det mulig for utviklere å oppnå produktivitet uten sidestykke. Det legges stor vekt på sikkerhet og stor samsvarsdekning. 
  1. Overføringen

Hvordan skal overføringen skje til tredjelandet, og da formatet på data som overføres (som om de er i klartekst, pseudonymisert, kryptert mv.).

Kryptert
  1. Mottaker av personopplysningene

Type enheter omfattet av behandlingen (privat, offentlig, behandlingsansvarlig/databehandler mv.) og hvilken sektor er mottaker i (markedsføring, finansiell, helse, HR osv.). Om mottakeren av opplysningene er underlagt overvåkningslover, se punkt 3. Hvis mottaker er innenfor EØS og opplysningene kun lagres innenfor EØS – vil det allikevel være tilgang til opplysningene fra tredjeland?

Privat databehandler
  1. Underdatabehandlere (underleverandører)

Hvilke underdatabehandlere (underleverandører) benyttes og i hvilket land vil personopplysninger behandles i av underdatabehandlerne?

UnderdatabehandlerLand
Microsoft Cooperation, One Microsoft Way, Redmond, WA 98052-6399USA
  
  

Det bør også gjøres egen vurdering for de enkelte underdatabehandlere.

  1. Andre forhold ved overføringen som kan ha betydning
Det vektlegges at det er iverksatt ytterligere sikkerhetstiltak, jf. pkt 4.3 nedenfor.
  • OVERFØRINGSGRUNNLAG SOM SKAL BENYTTES

Hvilket grunnlag benyttes for overføringen? (som Privacy Shield, EUs standardavtaler (SCC), bindende virksomhetsregler (BCR), land med tilstrekkelig beskyttelsesnivå godkjent av EU-kommisjonen?)

SCC
  • ER LOVGIVNINGEN I TREDJELAND ET EGNET FOR Å BESKYTTE PERSONOPPLYSNINGENE SOM OVERFØRES

Se egen veileder fra EDPB.

Nei. Derfor er det iverksatt ytterligere tiltak.
  • HVILKE NØDVENDIGE TILTAK KAN IVERKSETTES FOR Å ØKE BESKYTTELSEN AV PERSONOPPLYSNINGENE I TREDJELANDET

Nødvendigheten vurderes mot hvilke personopplysninger som skal overføres, se punkt 1.2. For eksempler på tiltak, se EDPBs veileder (link til veilederen ovenfor).

  • Organisatoriske tiltak
Det vises til redegjørelse fra databehandler Egocentric.
  • Kontraktuelle tiltak
Standard kontraktsbestemmelser.
  • Tekniske tiltak
Kryptering av dataene i Azure Storage (Server Side Enryption, SSE), løfte om en nødvendig sjekk i tilfelle offisiell tilgang (rettslig forsvar er allerede utført tidligere), løfte om informasjon i tilfelle spørsmål fra amerikanske myndigheter, informasjon om deltakerne  
  • IMPLEMENTERING AV TILTAK

Hvordan skal tiltakene implementeres? For veiledning og eksempler, se EDPBs veileder (link til veilederen ovenfor).

Det vises til redegjørelse fra databehandler Egocentric.
  • Organisatoriske tiltak
Det vises til redegjørelse fra databehandler Egocentric.
  • Kontraktuelle tiltak
Standard kontraksklausuler.
  • Tekniske tiltak
Det vises til redegjørelse fra databehandler Egocentric.
  • RUTINEMESSIG EVALUERING

Det skal skje en rutinemessig evaluering av om overføringsgrunnlag er tilstrekkelig (se punkt 2), lovgivningen i tredjelandet er egnet til å beskytte personopplysningene (se punkt 3), om tiltakene er nødvendig (se punkt 4), er tiltakene tilstrekkelig implementert (6) og blir tiltakene evaluert tilstrekkelig regelmessig og på riktig måte (se punkt 6.1).

  • Hvor ofte og hvordan skal tiltakene evalueres?
Årlig. Neste evaluering 1. februar 2022.
  • Hvem er ansvarlig for den rutinemessige evalueringen?
Underdatabehandler Egocentric.
  • Er evalueringen implementert i rutiner for behandling av personopplysninger i virksomheten?
Ja
  • KONKLUSJON

Er tiltakene tilstrekkelige for at overføring kan skje til tredjelandet? Eventuelt hvem som skal gi råd om overføringen skal skje, som juridisk avdeling, ekstern rådgiver eller personvernombud. Hvem som skal beslutte at overføringen skal skje, som daglig leder/administrerende direktør, IT-ansvarlig, sikkerhetsansvarlig, leder ansvarlig for systemet mv.

Ja