Visselblåsarlösningar efter Metas rekordhöga böter: Vad bör man tänka på vid val av leverantör av visselblåsartjänster? 

I denna gästartikel diskuterar Mathilda Kronér och Henrik Almström från den svenska advokatfirman Morris Law vikten av att säkerställa ett tillräckligt skydd av personuppgifter vid valet av leverantör för visselblåsartjänster.  
 

Mot bakgrund av de omfattande böter för brott mot GDPR som den irländska dataskyddsmyndigheten utfärdade 22 maj (efter bindande beslut från Europeiska dataskyddsstyrelsen), bör företag granska sina rutiner för GDPR-efterlevnad för att säkerställa laglig hantering i samband med hantering av personuppgifter. Det är särskilt viktigt när det gäller överföring av personuppgifter till tredje land, till exempel USA. Behovet av att säkerställa efterlevnad och säkra överföringar av personuppgifter är, ur ett ekonomiskt perspektiv, nu mer relevant än någonsin.  

Boten på 1,2 miljarder euro som tilldelats Facebooks ägare Meta är rekordhög och sätter ett tydligt varnande exempel framåt avseende konsekvenser av missbruk av enskilda individers personuppgifter vid överföring av data från EU till USA.  

Säkerheten först – se till att skydda visselblåsare och personuppgifter 

En visselblåsarsituation är till sin natur att betrakta som känslig. Processen involverar ofta känsliga personuppgifter som antingen faller inom ramen för de kategorier som anges i artikel 9 GDPR eller uppgifter om brott som anges i artikel 10 GDPR. Mot bakgrund av ovanstående är det viktigt att implementera rutiner för att säkerställa att behandlingen av uppgifterna är korrekt och säker. Vid val eller tillhandahållande av visselblåsartjänster bör därför säkerheten alltid vara i fokus. 

USA-baserade visselblåsartjänster – är de säkra att använda inom EU?  

Visselblåsartjänster innebär vanligtvis överföring av de personuppgifter som ingår i visselblåsningen till det företag som agerar tjänsteleverantör. Det är därför viktigt att agera med försiktighet i valet av leverantörer samt underleverantörer och säkerställa leverantörens GDPR-efterlevnad, särskilt eftersom överföringen kan innebära behandling av känsliga personuppgifter. Överföring av personuppgifter inom EU/EES är säkert och noggrant harmoniserat genom GDPR.  

Den uppmärksammade Schrems II-domen, som ogiltigförklarade EU-kommissionens Privacy Shield-beslut som skyddsåtgärd vid överföring av uppgifter till USA, har lett till strikta rättsliga krav på sådana överföringar av uppgifter till USA. Standardavtalsklausulerna (SCC) som är den kvarstående skyddsåtgärden vid överföring till tredje land, måste efter Schrems II kompletteras med ytterligare skyddsåtgärder för att säkerställa överföringarnas laglighet.  

Nämnda krav avser inte enbart USA-baserade tjänsteleverantörer och servrar som är baserade i USA, utan även EU-baserade tjänsteleverantörer och servrar som kan komma att omfattas av kraven om de agerar under kontroll av amerikanska företag. Sådana tjänsteleverantörer kan till exempel befinna sig inom EU men använda hostingtjänster från amerikanska leverantörer, såsom Amazon eller Azure. 

Visselblåsarkedjan är ditt företags ansvar 

Eftersom visselblåsning är nära kopplat till hantering av känslig information bör företag se till att det är säkert att slå larm. Både för intern regelefterlevnad och för att skydda visselblåsarens integritet.  

Vid användning av en extern visselblåsartjänst kommer tjänsteleverantören i de flesta fall att agera som personuppgiftsbiträde medan företaget som köper tjänsten kommer att anamma rollen som personuppgiftsansvarig. Eftersom ditt företag sannolikt agerar som personuppgiftsansvarig när du köper en visselblåsartjänst, är det även ditt företags ansvar att säkerställa tillämpningen av lämpliga skyddsåtgärder under hela behandlingskedjan. Detta innebär att ditt företag har en skyldighet att se till att säkerheten inte äventyras i något led i kedjan, exempelvis till följd av bristande skyddsåtgärder hos en leverantör.  

Hur försäkrar man sig om att visselblåsning sker på ett säkert och GDPR-förenligt sätt?  

Till att börja med bör ditt företag aktivt ta på sig ansvaret som personuppgiftsansvarig. Både när företaget anlitar en ny leverantör och när företaget granskar en befintlig leverantör är det lämpligt att begära information om tjänstens rättsliga efterlevnad. Detta återspeglas i artikel 28.1 GDPR där det anges att ”den personuppgiftsansvarige endast ska anlita personuppgiftsbiträden som lämnar tillräckliga garantier” för att säkerställa att behandlingen är förenlig med GDPR. I en värld som präglas av efterdyningarna av Schrems II, nu ytterligare understruket av Metas böter, bör företag begära och tillhandahållas betryggande information om tjänsters förenlighet med GDPR. Att anlita (eller fortsätta anlita) en leverantör som inte kan ge betryggande svar på åtminstone följande frågor kan vara riskabelt för ditt företag. 

För att säkerställa att er visselblåsartjänst är GDPR-kompatibel är det bäst att använda en europeisk leverantör eller underleverantör. Om det är oundvikligt att använda en amerikansk tjänst måste ditt företag säkerställa att eventuella amerikanska leverantörer och underleverantörer kan visa dokumentation på att deras behandling av personuppgifter är förenlig med GDPR. 

1. Lagras uppgifterna inom EU? 
2. Lagras uppgifterna enbart på servrar som inte kontrolleras av organisationer som är baserade utanför EU? 
3. Om svaret är ”Nej” på någon av ovanstående frågor, vilka åtgärder vidtas för att säkerställa efterlevnad av GDPR/Schrems II och hur kontrollerar man att dessa åtgärder är giltiga och tillräckliga? 

Medan de två första frågorna ger enkla svar, kan sista frågan innebära komplexa bedömningar av vad som är (o)tillräckligt. Enligt GDPR ligger risken för sådana bedömningar hos den personuppgiftsansvarige, ofta med enbart begränsade möjligheter att avtalsmässigt överföra risken till leverantören/personuppgiftsbiträdet. 

Med tanke på Metas böter är det relevant att göra en allmän översyn av riskexponeringen vid användandet av utomstående leverantörer, och visselblåsartjänster bör ligga högt upp på prioriteringslistan. 

Besök Morris Law hemsida för att bekanta dig med deras tjänster.  

Vill du veta mer? Besök vår sida om EU:s direktiv om visselblåsning eller läs mer om nationella lagar om visselblåsning i EU.  

Vill du diskutera en trygg och säker visselblåsarlösning för din organisation? Boka gärna en kostnadsfri demo av vårt system!