Transcript Thomas Olsen - Overføring personopplysninger

Overføring av personopplysninger
– Binding Corporate Rules
Forum rettsinformatikk 10. og 11. mai 2012
Thomas Olsen
2
Bakgrunn
• Økende flyt av personopplysinger over
landegrensene
– Internasjonale konserner
– Tjenester levert av utenlandske virksomheter
– Bruk av driftsleverandører og underleverandører
– Skytjenester (cloud computing)
3
EUs personverndirektiv 95/46/EF
To hovedformål:
1. Beskytte individets grunnleggende rettigheter og
friheter, herunder privatlivets fred
2. Sikre fri flyt av personopplysninger mellom
medlemslandene (velfungerende indre marked)
–
Art 1(2): medlemslandene skal ikke hindre eller forby fri
flyt av personopplysninger av hensyn til personvernet
Hovedregler
• Bare adgang til å overføre til stater som sikrer
”forsvarlig behandling”, jf § 29
– (EØS-området )
• Forbudt å overføre til ”tredjeland” (utenfor EØS)
5
Risiko/utfordringer ved overføring
• Unngå omgåelse av reglene (”data havens”)
• Vanskeligere å ha kontroll på egne opplysninger
• Begrensninger i tilsynsmyndigheters
kompetanse og ressurser
• Lovgivning i tredjeland som påbyr utlevering
6
Hva menes med overføring?
• Regelverket gir ikke definisjon
• Typetilfeller
– El. kommunikasjon som passerer tredjeland ikke
overføring
– Publisering på internett (EF-domstolen, Bodil Lindqvist)
– Forsendelse på e-post eller annet medium
– Opplysninger lagres og behandles i tredjeland
– Opplysninger er tilgjengelig fra tredjeland
7
Grunnlag for overføring til tredjeland
1.
2.
3.
4.
5.
”Godkjente” land
Safe Harbor (USA)
Individuelle unntak, jf § 30 (1) a-h
EUs standardkontrakter (SCC)
Binding Corporate Rules (BCR)
8
1. ”Godkjente” land
• Land vurdert til å ha ”adequate level of protection” av
EU-kommisjonen, jf direktivet art 25 (6):
–
–
–
–
–
Andorra
Argentina
Australia
Canada
Færøyene
–
–
–
–
–
Guernsey
Isle of Man
Israel
Jersey
Sveits
9
2. Safe Harbor
• Avtale mellom EU-kommisjonen og US
Department of Commerce
• Overføring tillatt til amerikanske virksomheter
som følger Safe Harbor-prinsippene
• ”Onward transfer” tillatt til
– Safe Harbor-sertifiserte virksomheter
– Virksomheter underlagt tilsvarende forpliktelser
10
3. Individuelle unntak
• § 30 (1) a-h:
– a) Samtykke
– c) Oppfyllelse av avtale med registrerte
– d) Inngå eller oppfylle avtale med tredjepart i den
registrertes interesse
– f) Fastsette, gjøre gjeldende rettskrav
– mv
11
4. EUs standardavtaler (SCC)
• EU-kommisjonens standardavtaler
– BA-BA
– BA-DB
– http://ec.europa.eu/justice/policies/privacy/modelcontracts/index_en.htm
• Må forelegges Datatilsynet for godkjennelse
• Særlige spørsmål
– Bruk av underleverandører
– Databehandler i EØS – underleverandører utenfor
12
5. Binding Corporate Rules (BCR)
• Overføring basert på konserninterne regler
• Hensiktsmessig for konserner med flere
selskaper både innenfor og utenfor EØS
– Omfatter ikke eksterne selskaper
• Rettslig grunnlag
– Garantier fra behandlingsansvarlig, jf § 30 (2)
– Veiledning fra Art 29-gruppen
Omfang BCR
EU/EØS
EEA
Tredjeland
Ekstern
virksomhet
(USA)
• Safe
Habor
Ekstern
virksomhet
• SCC
BCR – innenfor konsernet
14
Binding Corporate Rules
• Fordeler
– Overføringsgrunnlag til selskaper i gruppen utenfor
EØS
– Mindre administrasjon når først er etablert
(alternativ til SCC mv.)
– Potensiale for konsistente regler og effektiv
etterlevelse av personvernlovgivningen
(”internkontroll”)
– Signaleffekt internt og eksternt
15
Anvendelsesområde
• Kan velge omfang
– Alle eller enkelte behandlingsformål
– Alle eller enkelte selskaper
– Minimumsløsning eller full ”internkontroll”
• Forholdet til nasjonal rett
– Utgangspunkt i direktiv og/eller nasjonal rett
– Regulering av motstrid mellom BCR og nasjonal rett
16
Krav til BCR
•
•
•
•
Angivelse av selskaper og behandlingsformål
Bindende regler for selskapene og ansatte
Må gi rettigheter til de registrerte
Effektiv etterlevelse
– Retningslinjer og rutiner
– Informasjon og opplæring
•
•
•
•
Personer med særlig ansvar (”data protection officers”)
Revisjon
Samarbeid med datatilsynsmyndigheter
Rutine for endring av BCR
17
Gjennomføring BCR-prosjekt
1. Søknad om ”lead authority”
2. Utarbeide BCR og tilleggsdokumenter
•
•
Kartlegge behandlinger
Utarbeide nødvendige veiledninger og rutiner
3. Søknad om godkjennelse av BCR
4. Søknad(er) om overføring basert på BCR
18
Forslag til ny EU-forordning
• Art 43: krav og godkjennelsesordning for BCR
• I hovedsak i tråd med dagens krav
– Tydeliggjøring av BCR som overføringsgrunnlag
– Enklere og mer effektiv godkjenning
– Forslag om at også databehandlere kan benytte BCR
– Økte krav til dokumentasjon (”internkontroll”) antas
å kunne dekkes av en bredt anlagt BCR
Takk for oppmerksomheten!
SIMONSEN Advokatfirma
Thomas Olsen
[email protected]
+47 922 56 404