Hur säkerställer Skolon att våra underbiträden uppfyller säkerhetskraven enligt Dataskyddsförordningen?

Skolon ställer höga krav på sina underbiträden och deras behandling av personuppgifter. Underbiträdenas åtaganden gentemot Skolon, såvitt avser behandling av personuppgifter, regleras i personuppgiftsbiträdesavtal vilka är utformade i enlighet med kraven i GDPR:s Artikel 28, vilket bl.a. inkluderar krav på underbiträdet att vidta tekniska och organisatoriska åtgärder nödvändiga för säkerställa en lämplig säkerhetsnivå i enlighet med kraven i Artikel 32. Skolon använder ett fåtal, noggrant utvalda underbiträden som alla är internationellt erkända, välrenommerade företag med höga standarder vad gäller säkerhet och integritet. Flera av våra underbiträden är certifierade med t.ex. ISO/IEC 27001, 27017, 27018 och/eller SOC 1/2/3.

Hur säkerställer Skolon att inga personuppgifter kommer att behandlas från samtliga underbiträdens USA-baserade funktioner?

Behandling och lagring av personuppgifter som hanteras av USA-baserade underbiträden till Skolon sker på servrar placerade inom EU*. Våra underbiträden äger inte rätt att överföra personuppgifter till länder utanför EU/EES  annat än i strikta undantagsfall, t.ex. i den utsträckning det är absolut nödvändigt för att ett underbiträde ska kunna leverera sina tjänster, eller som ett resultat av en tvingande begäran från myndighet eller domstol. Vid överföring av personuppgifter till ett tredje land, t.ex. USA, används alltid lämpliga skyddsåtgärder (företrädesvis standardavtalsklausuler) i enlighet med kraven i GDPR:s Artiklar 44-50.

* Förutom The Rocket Science Group, leverantör av tjänsten Mailchimp.

Hur säkerställer Skolon att de underbiträden som lagrar personuppgifter i USA uppfyller säkerhetskraven enligt Dataskyddsförordningen?

Skolon ställer samma höga krav på sina underbiträden oavsett var dessa är baserade och var personuppgifterna lagras. Även om ett underbiträde lagrar personuppgifter i USA, är GDPR tillämplig och förordningens krav och regler gäller.

Underbiträdenas åtaganden gentemot Skolon, såvitt avser behandling av personuppgifter, regleras i personuppgiftsbiträdesavtal vilka är utformade i enlighet med kraven i GDPR:s Artikel 28, vilket bl.a. inkluderar krav på underbiträdet att vidta tekniska och organisatoriska åtgärder nödvändiga för säkerställa en lämplig säkerhetsnivå i enlighet med kraven i Artikel 32. Skolon använder ett fåtal, noggrant utvalda underbiträden som alla är internationellt erkända, välrenommerade företag med höga standarder vad gäller säkerhet och integritet.

Överföring av personuppgifter från EU till USA sker med stöd av s.k. standardavtalsklausuler (”standard contractual clauses”). Det är sedan avgörandet i det s.k. Schrems II-målet inte längre tillåtet att med stöd av Privacy Shield överföra personuppgifter till USA. I samma mål framhölls emellertid att överföring med stöd av standardavtalsklausuler i regel medför en tillfredsställande nivå av skydd, och standardavtalsklausuler anses vara en lämplig skyddsåtgärd enligt Artikel 46.2 (c). Skolon har därför träffat tilläggsavtal innehållande standardavtalsklausuler med samtliga underbiträden hos vilka överföring/behandling av personuppgifter sker i USA.

EU-domstolen uttalade i Schrems II-målet att standardavtalsklausuler i vissa fall kan behöva kompletteras med ytterligare skyddsåtgärder, om det behövs för att kunna säkerställa en tillfredsställande nivå av säkerhet. Domstolen specificerade emellertid inte närmare vilka sådana ytterligare skyddsåtgärder skulle kunna vara. Skolon avvaktar och inväntar vidare vägledning från Europeiska Dataskyddsstyrelsen (EDPB) och agerar därefter.

Om du har fler frågor eller funderingar kring hur Skolon behandlar personuppgifter, vänligen kontakta oss på support@skolon.com