2022-09-15
Det finns ett flertal olika anledning till varför ni borde hosta ert visselblåsarsystem i Sverige och inom EU. En av de starkaste anledningarna är helt klart GDPR, som sedan 2018 ser till att all insamling av personlig data måste hanteras på ett korrekt sätt.
Motsvarigheten i USA, nämligen “Privacy Act”, sätter upp regler för hur regeringen får hantera personlig data. Det finns dock ingen reglering på plats för hur privata företag kan, eller behöver, hantera personlig data i USA.
Detta är en av de främsta anledningarna till att datalagring inom Sverige och EU är att föredra. Det säkerställer nämligen att personlig data som samlas in inte delas med andra företag, regeringar eller övrig 3:e part. Nedan går vi igenom detta i mer detalj samt övriga anledningar till varför ni borde hosta ert visselblåsarsystem inom EU.
Säker dataförvaring med GDPR
Inom EU måste all personlig information behandlas och förvaras enligt den allmänna dataskyddsförordningen (GDPR). Det är viktigt att all praxis för visselblåsning tar hänsyn till skyldigheterna i både GDPR och visselblåsarlagen som träder i kraft inom EU, såväl som de områden där de två kan komma i konflikt. Med tanke på arten och känsligheten av de rapporter som kommer via ett visselblåsarsystem är dataskydd och säker datalagring av största vikt.
När en rapport kommer in från en visselblåsare kommer den nästan alltid att innehålla personlig information på ett eller annat sätt. Om inte angående personen som rapporterar så kan det exempelvis röra andra inblandade personer. EU:s whistleblower-direktiv kräver att sådan behandling följer EU:s dataskyddslagstiftning, inklusive GDPR. GDPR inkluderar inte enbart eller nämner specifikt visselblåsning, men visselblåsning faller, precis som all annan personlig data, under GDPR:s regleringar. De potentiella riskerna för personer som rapporterar, och personer som nämns i en rapport kan inte överdrivas och därför är dataskydd viktigt för alla inblandade parter.
När ni väljer att hosta ert visselblåsarsystem inom EU, eller till och med i Sverige, innebär det därför att all personlig data måste hanteras i enighet med GDPR. Detta ser till att hela visselblåsarsystemet är tryggare att använda och ni som företag slippa långa och krångliga processen i att kvalitetssäkra visselblåsarsystemet.
Läs även: 3 tips för att välja den rätta visselblåsartjänsten för er organisation
Faran med hosting utanför Sverige och EU
Enligt GDPR får personlig information endast överföras mellan länder inom EU och som därför tillämpar GDPR.
I detta perspektiv betraktas alla nationer utanför EU/EES-territoriet som “tredje land”. Personligt identifierbar information får i allmänhet inte överföras till tredje land. Detta omfattar även användningen av en tredjepartskälla för att hantera eller lagra personuppgifter.
GDPR-skyddet måste således tillämpas när personuppgifter överförs till nationer utanför EU, vilket i många fall kan ställa till det rejält. Ditt företag får endast exportera data till tredje parts länder i särskilda fall.
Läs även: Visselblåsardirektivets 6 minimikrav för arbetsgivare
Det finns för närvarande ingen komplett lösning för laglig behandling av personuppgifter i USA eller något annat tredje land. Inte heller räcker de konventionella avtalsbestämmelserna på egen hand. I varje enskilt fall måste de ansvariga besluta om klausultillägg är nödvändiga eller inte.
Det är därför uppenbart att det finns en fara att dataöverföringen är förbjuden om du använder tjänster som lagrar eller överför personlig information till USA (till exempel genom olika molntjänster), vilket även gäller om överlåtelsen sker genom en underleverantör.
Även om det ibland kan vara lockande att välja hosting utanför Sverige eller EU på grund av exempelvis prisskillnad är det alltså ofta en mycket bättre idé att välja hosting i Sverige eller ett annat land inom EU där data inte transporteras till “tredje land”.
Läs även: Checklista för hantering av visselblåsningsrapporter
Sammanfattningsvis
Man kan sammanfatta det hela med att helt enkelt peka ut att EU är ledande när det gäller säker lagring av personlig data. Detta är något som aktörer i andra delar av världen ständigt har problem med. Meta, tidigare Facebook, är ett exempel på ett företag som ständigt stöter på problematik med GDPR.
I slutändan är hela anledningen till att personlig information lagras och hanteras enligt dessa riktlinjer att säkerställa säkerhet och integritet för befolkningen. Därför är det även logiskt att hosta ert visselblåsarsystem i Sverige, men åtminstone inom EU.