Hvilke muligheter hadde UDI for å overføre personopplysninger ut av EU/EØS? Og hvilke overføringer av personopplysninger til tredjeland skjer faktisk i UDI? Dette var oppdraget Sopra Steria bisto UDI med.
Kundens situasjon
UDI ønsket bistand til å vurdere i hvilken grad UDI kunne overføre data til tredjeland. I tillegg ønsket di en anbefaling av tekniske, organisatoriske og juridiske tiltak for å sikre at overføringen var lovlig, og en vurdering av eksisterende tiltak.
Kunden ba også om en gjennomgang og dokumentasjon av deres behandlingsaktiviteter for å kartlegge utleveringer, overføringer og tilgjengeliggjøring av personopplysninger til land utenfor EU/EØS og internasjonale organisasjoner.
Sopra Sterias bidrag
Vi skulle komme med forslag til passende overføringsgrunnlag. Det var også en del av oppdraget å foreslå fremtidig leverandøroppfølging og tiltak for å redusere risikoen forbundet med overføringene. Denne delen av oppdraget var en såkalt Schrems II-vurdering som svarer til det europeiske personvernrådets metode for overføringer steg 1 til 4.
Sopra Steria gjennomgikk og dokumenterte UDIs behandlingsaktiviteter som innebærer slike overføringer, og oppdaterte maler for ROS (risikoanalyse) og Data Protection Impact Assessment (DPIA) (vurdering av personvernkonsekvenser) samt Transfer Impact Assessments (TIA) (vurdering av overføringskonsekvenser).
UDI hadde gjennomført en kombinert vurdering av personvernkonsekvenser (DPIA) og ROS-analyse av Microsoft Azure og Microsoft 365, men en de hadde ikke tatt for seg overføringsspørsmålet. Sopra Steria utarbeidet dermed et forslag til nye risikoscenarioer som gjaldt overføringer, samt forslag til risikoreduserende tiltak.
UDI kan bare inngå avtaler med databehandlere som kan stille tilstrekkelige garantier for personvernetterlevelse, jf. GDPR artikkel 28(1). UDI fikk forslag til spørsmål de kunne bruke i vurderingene av om en leverandør vil være i stand til å etterleve krav til personvern i GDPR.
UDIs avtale med Microsoft, som leverandør av Microsoft Azure-utviklingsmiljø og Microsoft 365-tjenester, innebar overføringer av personopplysninger til tredjeland. Sopra Steria gjennomførte en TIA for denne behandlingen og svarte på hvor sikkert det var å behandle personopplysninger i det aktuelle tredjelandet.
Verdi for kunden
UDI fikk en oversikt over alle overføringer til tredjeland, forslag til gyldige overføringsgrunnlag, vurderinger av om overføringsgrunnlagene var effektive og forslag til supplerende tiltak.
UDI har fått en tydelig oversikt over videre tiltak som de er anbefalt å følge opp for å videreføre etterlevelsesarbeidet på området for Schrems II. De har også fått anbefalinger til tiltak på generell personvernetterlevelse for å sikre det mer strukturelle personvernarbeidet i UDI. Dette for at UDI bedre skal kunne leve opp til sine personvernforpliktelser over tid. UDI har også fått forslag til ny mal for ROS/DPIA og TIA, samt forslag til spørsmål som en leverandør bør kunne svare på i en leverandørvurdering.
Fakta om kunden
- UDI skal sørge for regulert innvandring gjennom behandling av søknader om ulike typer oppholds- og arbeidstillatelser, og skal også sikre at flyktninger får beskyttelse gjennom behandling av asylsøknader.
- UDI behandler søknader om asyl, besøksvisum, familieinnvandring, oppholdstillatelser for å arbeide og studere, statsborgerskap, permanent oppholdstillatelse og reisedokumenter.
- UDI fatter også vedtak om bortvisning og utvisning.