Kundvården brast när GDPR implementerades hos alla samtidigt
12 oktober, 2018Varför är Datainspektionen så tyst?
24 oktober, 2018Är du workaholic som jag och tar med dig laptopen på semestern? Det kan ju komma in något spännande eller viktigt i e-posten… Det kanske regnar någon dag och då kan man ju passa på att jobba undan lite. I dagens IT-värld är det oftast enkelt att koppla upp sig mot arbetsgivarens IT-system var man än befinner sig i världen. Om en anställd tittar på sin e-post eller jobbar mot arbetsgivarens servrar under en tjänsteresa i tredjeland, eller kanske bor och arbetar därifrån permanent, är det då ett tredjelandsutlämnande som kräver särskilda åtgärder i form av standardavtal eller liknande enligt GDPR? Räcker det med att man tar med sig sin laptop innehållande arbetsmaterial på semestern, utan att koppla upp sig mot någon server hemma?
Formellt sett så är det ett tredjelandsutlämnande i alla dessa situationer. Informationen finns tillgänglig i tredjeland och det är en risk i sig. Men de flesta experter ifrågasätter att man skulle kunna teckna ett standardavtal för att göra överföringen laglig. Standardavtalen förutsätter att det antingen är en annan personuppgiftsansvarig organisation eller ett personuppgiftsbiträde som är mottagare av informationen i tredjeland. Det kommer det inte att vara, arbetsgivaren är fortfarande personuppgiftsansvarig i de här situationerna. Således måste man hitta en annan väg för att visa att det finns ett tillräckligt skydd för uppgifterna.
Den brittiska tillsynsmyndigheten, ICO, skriver så här. “An employee travels outside the EEA with a laptop containing personal data connected with their employment. Their employer in the UK is still the data controller. As long as the information stays with the employee on the laptop, and the employer has an effective procedure to deal with security and the other risks of using laptops (including the extra risks of international travel), it is reasonable to decide that adequate protection exists).”
Advokatsamfundet säger i princip samma sak i sin vägledning till advokatbyråerna.
Det finns egentligen inget formellt stöd i GDPR för den här uppfattning, men det är enligt min mening en rimlig tolkning som har gjorts av ett antal välrenommerade experter på dataskyddsområdet. Kom ihåg att kravet på interna instruktioner och utbildning förstärks i de här situationerna, så att den som hanterar personuppgifter i tredjeland verkligen vet vad som gäller och vilket ansvar man har själv.
Har man väldigt känslig information i sin dator kanske man får avstå att at med den på sin resa, eller i vart fall tömma den på känslig information. Arbetsgivaren får noga överväga om en person som bor i ett tredjeland med obefintligt eller dåligt skydd för den personliga integriteten, verkligen ska tillåtas att arbeta med känsliga personuppgifter eller annan information som är extra skyddsvärd av någon anledning.
Jag träffade en IT-säkerhetsexpert för några veckor sedan, han hade varit på en stor säkerhetskonferens i USA. Gissa om de andra hotellgästerna, som kopplat upp sig via hotellets publika nätverk, fick ångra det! Ett gäng IT-kunniga grannar roade sig på deras bekostnad och plötsligt hade de beställt supertidig väckning, porrfilmer och dyra champagner från room service. Jag skulle kalla det en säkerhetsincident, för hur vet vi vad som hände mer?