Hvordan sikrer Skolon at våre underleverandører oppfyller sikkerhetskravene i henhold til personvernforordningen (GDPR)?
Skolon stiller høye krav til sine underleverandører og deres behandling av personopplysninger. Underleverandørenes forpliktelser overfor Skolon, når det gjelder behandling av personopplysninger, reguleres i databehandleravtaler. Disse avtalene er utformet i samsvar med kravene i GDPR Artikkel 28, som blant annet inkluderer krav til underleverandøren om å iverksette tekniske og organisatoriske tiltak som er nødvendige for å sikre et passende sikkerhetsnivå i henhold til kravene i Artikkel 32.
Skolon bruker et fåtall nøye utvalgte underleverandører. Dette er alle internasjonalt anerkjente, velrenommerte selskaper med høye standarder når det gjelder sikkerhet og personvern. Flere av våre underleverandører er sertifiserte med for eksempel ISO/IEC 27001, 27017, 27018 og/eller SOC 1/2/3.
Hvordan sikrer Skolon at ingen personopplysninger vil bli behandlet av USA-baserte funksjoner hos samtlige underleverandører?
Behandling og lagring av personopplysninger som håndteres av USA-baserte underleverandører til Skolon, skjer på servere plassert innenfor EU*. Våre underleverandører har ikke rett til å overføre personopplysninger til land utenfor EU/EØS, bortsett fra i strenge unntakstilfeller. Dette kan for eksempel være i den grad det er absolutt nødvendig for at en underleverandør skal kunne levere sine tjenester, eller som et resultat av en tvingende anmodning fra en myndighet eller domstol. Ved overføring av personopplysninger til et tredjeland, for eksempel USA, brukes det alltid passende sikkerhetstiltak (fortrinnsvis standard kontraktsklausuler) i henhold til kravene i GDPR Artikkel 44-50.
Unntatt The Rocket Science Group, leverandør av tjenesten Mailchimp.
Hvordan sikrer Skolon at de underleverandørene som lagrer personopplysninger i USA, oppfyller sikkerhetskravene i henhold til personvernforordningen?
Skolon stiller de samme høye kravene til sine underleverandører uansett hvor de er basert og hvor personopplysningene lagres. Selv om en underleverandør lagrer personopplysninger i USA, er GDPR gjeldende, og forordningens krav og regler gjelder.
Underleverandørenes forpliktelser overfor Skolon, når det gjelder behandling av personopplysninger, reguleres i databehandleravtaler. Disse avtalene er utformet i samsvar med kravene i GDPR Artikkel 28, som blant annet inkluderer krav til underleverandøren om å iverksette tekniske og organisatoriske tiltak som er nødvendige for å sikre et passende sikkerhetsnivå i henhold til kravene i Artikkel 32. Skolon bruker et fåtall nøye utvalgte underleverandører som alle er internasjonalt anerkjente, velrenommerte selskaper med høye standarder når det gjelder sikkerhet og personvern.
Overføring av personopplysninger fra EU til USA skjer med støtte i såkalte standard kontraktsklausuler ("standard contractual clauses"). Siden avgjørelsen i den såkalte Schrems II-saken er det ikke lenger tillatt å overføre personopplysninger til USA med støtte i Privacy Shield. I samme sak ble det imidlertid fremhevet at overføring med støtte i standard kontraktsklausuler som regel medfører et tilfredsstillende beskyttelsesnivå, og standard kontraktsklausuler anses å være et passende sikkerhetstiltak i henhold til Artikkel 46.2 (c). Skolon har derfor inngått tilleggsavtaler som inneholder standard kontraktsklausuler med samtlige underleverandører hvor overføring/behandling av personopplysninger skjer i USA.
EU-domstolen uttalte i Schrems II-saken at standard kontraktsklausuler i visse tilfeller kan trenge å suppleres med ytterligere sikkerhetstiltak, dersom det er nødvendig for å kunne sikre et tilfredsstillende sikkerhetsnivå. Domstolen spesifiserte imidlertid ikke nærmere hvilke slike ytterligere sikkerhetstiltak kunne være. Skolon avventer og venter på ytterligere veiledning fra Det europeiske personvernrådet (EDPB) og vil handle deretter.
Har du flere spørsmål eller funderinger rundt hvordan Skolon behandler personopplysninger, er du velkommen til å kontakte oss på support@skolon.com.