Bindande företagsinterna regler (BFR/BCR)

Download Report

Transcript Bindande företagsinterna regler (BFR/BCR) 

Bindande företagsinterna regler (BFR/BCR)
ett smidigare sätt att överföra personuppgifter till tredje land
av Thomas Lindqvist och Bojana Saletic
1. Generellt förbud och undantag
Överföring av personuppgifter till ett land utanför EESområdet, s.k. tredje land, är generellt sett förbjuden. D
­ etta
framgår av Europaparlamentets och rådets direktiv
95/46/EG av den 24 oktober 1995 om skydd för en­skilda
personer med avseende på behandling av personuppgifter
och om det fria flödet av sådana uppgifter («Dataskyddsdirektivet») artikel 25 och av den svenska personuppgiftslagen (1998:204) («PUL») 33 §. Förbudet gäller både
för personuppgifter som är under behandling och personuppgifter som är avsedda att behandlas i tredje land.
Förbudet gäller dock inte och överföringen får ske om
landet i fråga har en adekvat skyddsnivå för personuppgifter.1 Kommissionen har beslutat att adekvat skyddsnivå
föreligger i vissa länder, bl.a. Andorra, Argentina och
Schweiz.2 Adekvat skyddsnivå anses även föreligga och ett
företag får överföra personuppgifter till USA om mottagaren har anslutit sig till de så kallade Safe Harbor-prin­
ciperna.
Överföring av personuppgifter får även ske om det
finns tillräckliga garantier för att privatliv och enskilda personers grundläggande fri- och rättigheter skyddas och
dessa garantier framgår av lämpliga avtalsklausuler.3 Kommissionen har tagit fram standardavtalsklausuler4 som, när
undertecknade av avsändaren och mottagaren inför varje
överföring, uppfyller detta krav på tillräckliga garantier.
10
2. Undantaget för överföring till tredje land
inom internationella koncerner
Ovan nämnda överföringsmetoder lämpar sig dock inte
alltid väl för internationella koncerner som överför
person­uppgifter till tredje land i stor omfattning. Detta har
lett till utveckling av ytterligare ett undantag från förbudet
att överföra personuppgifter - s.k. bindande företags­
interna regler («BFR»)5. Som redan nämnts får överföring
av personuppgifter ske om det föreligger tillräckliga garantier för att privatliv och enskilda personers grund­
läggande fri- och rättigheter skyddas. Datainspektionen
har fått bemyndigande från regeringen att tillåta över­
föring till tredje land om det finns tillräckliga garantier till
skydd för de registrerades rättigheter.6 Datainspektionen
kan således besluta att tillåta överföring av personuppgift­
er inom en och samma koncern om koncernen visar att
den har BFR som uppfyller krav på tillräckliga garantier
till skydd för de registrerades rättigheter. Detta gäller även
för övriga EU-ländernas dataskyddsmyndigheter. BFR
kan därmed bli ett bra alternativ för välstrukturerade
multi­nationella företag där överföring av personuppgifter
sker mellan de personuppgiftsansvariga7 inom en och
samma koncern. BFR kan också vara ett bra alternativ för
företag som vill outsourca behandling av personuppgifter
till ett land utanför EES-området och kan för detta ändamål använda sig av BFR för personuppgiftsbiträde. Nedan
följer en beskrivning av BFR:s innehåll, ansöknings­
processen samt deras för- och nackdelar.
Lov&Data nr. 117 - Mars 2014
2.1. Innehållet i BFR och ansökan
Utformningen av BFR kommer i stort sett att bero på
koncernens struktur och den behandling som avses. Även
om BFR kommer att skilja sig åt i praktiken bör vissa
punkter alltid finnas med.8
Ett företag som ansöker om godkännande av BFR ska
ange kontaktinformation, information avseende koncern­
en och en lista över bolag inom koncernen till vilka
person­uppgifter överförs. Ansökan ska även innehålla information om naturen och omfattningen av överföringar.
2.1.1. BFR ska vara bindande
För att BFR ska utgöra en adekvat skyddsåtgärd för behandling av personuppgifter måste de vara bindande både
internt och externt. Därför bör BFR innehålla en klar
skyldig­het för alla medlemmar och för alla anställda i koncernen att följa reglerna. Företaget måste i ansökan förklara hur BFR kommer att följas i praktiken t.ex. med
hjälp av företagsledningens engagemang och avdelningar
för regelefterlevnad som kan tillämpa disciplinära påföljd­
er. Dessutom bör alla anställda få information och utbildning om innehållet i BFR. Företaget bör även ha interna
och externa revisorer vars slutsatser vidarebefordras till
tillsynsmyndigheten.
2.1.2. Förhållande till tillsynsmyndigheten
Alla som omfattas av BFR måste samarbeta både internt
och externt med den lokala myndigheten som är ansvarig
för tillsyn av personuppgiftsfrågor. Tillsynsmyndigheten
och alla som berörs av BFR måste också hållas under­
rättade om varje väsentlig förändring i BFR varför BFR
bör innehålla processer för sådant informationsutbyte.
Det sökande företaget bör även ange vilka åtgärder som
utförts i syfte att skydda personuppgifter bl.a. vad gäller
transparens, ändamålsbegränsning, säkerhet och data­
subjektens möjlighet att ändra uppgifter eller återkalla sitt
samtycke till behandlingen. Varje avvikelse från godkända
BFR kan leda till att tillsynsmyndigheten återkallar sitt
godkännande. I ett sådant fall får överföring till tredje land
ske först när personuppgiftsansvarig på annat sätt, t.ex.
genom standardavtalsklausuler, visat att det föreligger en
adekvat skyddsnivå.
2.1.3. Den registrerades rättigheter
BFR ska vara lättillgängliga för de registrerade och tillförsäkra dem vissa rättigheter.9 Även information om hur
eventuella klagomål från de registrerade behandlas måste
finnas lättillgänglig. Den registrerade ska kunna vända sig
till tillsynsmyndigheten eller till den domstol inom EU
som har jurisdiktion över företagets huvudkontor, över
den organisation inom koncernen som är ansvarig för behandling av personuppgifter eller över den organisation
inom koncernen som överför flest personuppgifter till
tredje land.
Ett företag som överför uppgifter från EES-området
till tredje land ska enligt BFR även bära ansvar för alla
ersättnings­anspråk som följer av att företaget, till vilket
personuppgifter överförts, brustit i sin skyldighet att följa
BFR. Företaget som har åtagit sig ersättningsansvaret måste i ansökan intyga att det har tillgångar att täcka ett eventuellt framtida ersättningsanspråk. När den registrerade
kan visa att den lidit skada som sannolikt är en följd av att
företaget i tredje land inte följt BFR, kan företaget som
har tagit på sig ersättningsansvar undgå ersättningsskyldighet endast om det visar att företaget som behandlade uppgifter utanför EES-området inte hade brustit i sin skyldighet att följa BFR eller att företagets agerande inte låg till
grund för skadan i fråga.
2.2. BFR för personuppgiftsbiträde
Internationella företag vill ofta outsourca behandling av
personuppgifter till företag som befinner sig i ett tredje
land. I ett sådant fall kan man använda sig av BFR för
person­uppgiftsbiträde. Personuppgiftsansvarig d.v.s. företaget som överför uppgifter förblir dock ansvarigt för att
adekvat skyddsnivå föreligger och att uppgifterna behandlas i enlighet med de bestämda ändamålen och instruk­
tionerna. Personuppgiftsbiträde d.v.s. företaget som behandlar uppgifterna måste följa sin skyldighet enligt personuppgiftsbiträdesavtalet och BFR för personuppgiftsbiträde.
Informationen avseende BFR för personuppgifts­
ansvarig gäller även för BFR för personuppgiftsbiträde
men med några tillägg. BFR för personuppgiftsansvarig
bör läggas till som en bilaga till personuppgiftsbiträdes­
avtal. Avtalet och BFR blir då bindande mellan parterna
och personuppgiftsbiträde måste åta sig att samarbeta med
den myndighet som har tillsyn över den personuppgiftsansvarige.
2.2.1. Överföring av personuppgifter till underbiträde
Personuppgiftsbiträde kan vidarebefordra personupp­
gifter för behandling inom sin koncern under förutsättning att det sker transparent och att personuppgifts­
ansvarig skriftligen har godkänt detta. Godkännandet kan
antingen vara generellt eller för varje underbiträde. Om
godkännandet är generellt och personuppgiftsbiträde avser göra några ändringar som rör underbiträde ska den
personuppgiftsansvarige i god tid få information om ­detta
och ha möjlighet att invända mot ändringarna.
Lov&Data nr. 117 - Mars 2014
11
Om underbiträdet däremot befinner sig utanför koncernen får vidarebefordran av personuppgifter ske endast
efter ett skriftligt godkännande av personuppgiftsansvarige. Personuppgiftsbiträdet måste då tillse att underbiträd­
et har adekvata skyddsåtgärder genom att även underbiträde blir bunden av BFR för personuppgiftsbiträde och
alla skyldigheter som personuppgiftsbiträde har enligt
person­uppgiftsbiträdesavtalet.
2.2.2. Den registrerades rättigheter
Den personuppgiftsansvarige ska informera den registrerade om att det finns ett personuppgiftsbiträde utanför
EES-området samt när känsliga uppgifter överförs till ett
tredje land. Den registrerade ska också ha tillgång till uppgifter om sekretess- och säkerhetsåtgärder, instruktioner
för behandling, eventuella underbiträden, samt efter förfrågan även tillgång till personuppgiftsbiträdesavtalet och
BFR för personuppgiftsbiträde.
BFR för personuppgiftsbiträde bör innehålla en bestämmelse som möjliggör för den registrerade att framställa anspråk10 både mot personuppgiftsansvarig och mot
dess biträde. Personuppgiftsbiträdet bör utan dröjsmål
vidare­befordra sådan information om klagomål till
person­uppgiftsansvarig.
2.3. Ansökningsprocess och sammarbete
mellan olika myndigheter
Ett företag som önskar överföra personuppgifter med
hjälp av BRF ska börja processen med att vända sig till
den myndighet företaget anser ska vara huvudmyndighet.
I Sverige är det Datainspektionen. Som huvudregel ska
huvudmyndigheten befinna sig i samma land som
koncern­ens huvudkontor men det finns flera alternativ när
man ska utse en huvudmyndighet. Om koncernen inte har
ett huvudkontor inom EU kan huvudmyndigheten vara
belägen i samma land som den enhet som är ansvarig för
behandling av personuppgifter. Vidare kan man beakta var
de flesta beslut avseende ändamål med behandling av
person­uppgifter fattas och från vilket EU-land flest överföringar till tredje länder äger rum. Huvudmyndigheten
kan även vara belägen i samma land som den enhet som
bäst kan tillse att BFR efterlevs ur management och administrativt perspektiv. Företaget bör inkomma med ansökningsblanketten WP 133 del I för vanliga BFR respektive ansökningsblanketten WP 195 del I för BFR för
person­uppgiftsbiträde. Om huvudmyndigheten håller med
företagets förslag bör den kommunicera med de övriga
myndigheterna för att erhålla deras kommentarer. Om
huvud­myndigheten inte håller med förslaget bör den även
i detta fall underrätta de övriga myndigheterna och hjälpa
till i processen att utse en ny huvudmyndighet. Sådant beslut bör tas inom en månad.11
12
När huvudmyndigheten är utsedd tar den kontakt med
företaget och börjar utarbeta ett konsoliderat utkast till
ansökan. Utöver ansökningsblanketten bör företaget även
skicka en kopia av BFR för personuppgiftsansvarig respektive personuppgiftsbiträde, en lista över enheter som
är bundna av BFR och alla andra dokument som visar att
koncernen följer BFR12. Om företaget önskar att någon
del av ansökan ska vara sekretessbelagd bör det anges. Såsom avseende vanliga ansökningar till Datainspektionen
görs en sekretessbedömning i varje enskilt ärende.
Huvudmyndigheten hjälper företaget utarbeta ett konsoliderat utkast till ansökan. När det konsoliderade utkast­
et är klart inleder huvudmyndigheten ett samarbete med
de övriga myndigheterna som har upp till en månad på sig
att kommentera ansökan. Ett konsoliderat utkast av an­
sökan ska göras på det landets språk där huvudmyndig­
heten är belägen och översättas till engelska. När BFR är
godkännda måste de översättas till språk av alla EU-länder
vars tillsynsmyndigheter omfattas av BFR.
När BFR är godkända innebär detta att adekvat skyddsnivå för behandling av personuppgifter föreligger. När
före­taget vill överföra personuppgifter ska den ansöka om
tillstånd för själva överföringen hos tillsynsmyndigheten
och hänvisa till BFR som en garanti för att adekvat skyddsnivå för behandling av personuppgifter föreligger. I
­Sverige innebär det att när BFR är godkända kan företaget
lämna in en ansökan till Datainspektionen som inom ca
en månad fattar beslut om överföringen.
2.4. Ömsesidigt erkännande
Vissa länder har anslutit sig till ett system med ömsesidigt
erkännande som innebär att om huvudmyndigheten i ett
medlemsland godkänner BFR, kommer myndigheter i de
övriga länderna att godkänna BFR utan att göra några
egna bedömningar i ärendet. Detta bidrar till att ansökningsprocessen blir snabb och smidig. I dagsläget är 21
länder13 anslutna till systemet.
Sverige har dock inte anslutit sig till systemet vilket
innebär att varje gång Datainspektionen får information
om BFR från en myndighet i ett annat land måste Datainspektionen enligt PUL göra en egen bedömning om
BFR uppfyller de uppställda kraven. Då samma direktiv
reglerar personuppgiftsbehandling i hela EU kan man i
praktiken utgå ifrån att i övervägande antal fall kommer
beslutet i Sverige att vara detsamma som huvudmyndighetens beslut. Man kan dock inte bortse ifrån att denna
lösning leder till en fördröjning i ansökningsprocessen.
Fördröjningen kan också ske när Datainspektionen är
huvud­myndighet och myndigheter i de övriga länderna
ska göra en egen prövning till följd av att Sverige inte anslutit sig till systemet med ömsesidigt erkännande.
Lov&Data nr. 117 - Mars 2014
En önskad framtida utveckling som skulle bidra till en
smidigare användning vore att regleringen i PUL möjliggjorde för Sverige att ansluta sig till systemet med ömsesidigt erkännande. Det skulle både underlätta och på­
skynda processen.
2.5. BFR och dess framtida utveckling
BFR-frågan har även varit föremål för lagstiftningsarbete
på EU-nivå genom behandling i EU-kommissionens förslag till en ny dataskyddsförordning. EU-kommissionen
föreslår att BFR ska införas i lagtexten och därigenom bli
en självständig lagstadgad grund för överföring av personuppgifter till tredje land.14 Det skulle innebära en förändring jämfört med dagens system eftersom idag är Data­
inspektionen bemyndigad av regeringen att besluta om det
föreligger adekvat skyddsnivå för behandling av personuppgifter. Datainspektionen kan fatta ett sådant beslut
med hjälp av BFR och tillåta överföring av personuppgift­
er till tredje land.
Enligt förslaget kommer även EU-kommissionen att ha
befogenhet att anta delegerande akter i syfte att ytter­ligare
precisera kraven för BFR och deras godkännande. Datainspektionen har dock ställt sig någorlunda kritiskt mot
delegeringsförslaget eftersom det enligt Datainspek­
tionens mening kan leda till rättsosäkerhet eftersom det
blir svårare att överblicka konsekvenser av kommissionens
delegerande akter.15
Även Europaparlamentets utskott för medborgerliga
fri- och rättigheter samt rättsliga och inrikesfrågor (LIBEutskott) har behandlat BFR-frågan. I sitt kompromissförslag föreslår utskottet att i det fall BFR avser anställdas
personuppgifter ska representanter för arbetstagarna informeras om och vara engagerade i BFR:s utformning.
Även om lagstiftningsarbetet inte är alltför preciserat
och förslaget kan komma att ändras, är det värt att följa
dess utveckling och se hur det kommer att påverka användning av BFR i framtiden.
2.6. Fördelar och eventuella begränsningar
med BFR i Sverige
Speciella frågeställningar uppkommer när en myndighet
vill överföra personuppgifter till en annan aktör. Myndigheter i Sverige är bundna av den svenska offentlighetsoch sekretesslagen (2009:400) («OSL») och kan i enlighet
med den endast lämna ut information som inte omfattas
av sekretess efter en sekretessprövning. Om en myndighet
anlitar ett personuppgiftsbiträde gäller sekretessen för biträdet endast om biträdet befinner sig i Sverige. Om en
myndighet överför sekretessbelagda personuppgifter till
ett biträde i utlandet skulle myndigheten kunna anses ha
lämnat ut uppgifterna utan att någon sekretessprövning
skett före utlämnandet. Det finns starka argument att på-
stå att sådant agerande inte är förenligt med OSL, speciellt
om uppgifterna inte är krypterade. BFR ter sig därför som
ett mindre lämpligt alternativ för myndigheter och behandling av sek­retessbelagd information.
Den största begränsningen med BFR är att de endast
avser överföringar till tredje land inom en och samma koncern. BFR kan därmed vara ett effektivt, snabbt och
­smidigt sätt att överföra personuppgifter till tredje land
inom en koncern, framförallt för företag inom den finansiella sektorn, läkemedels- och telekomsektorn som inom
sina verksamheter har ett stort antal sådana överföringar.
Samtidigt går det inte att använda BFR när personupp­
gifter överförs till en aktör utanför koncernen, utan då
behöver man visa att adekvat skyddsnivå föreligger på något annat sätt.
Det finns andra lösningar för överföring av personuppgifter till tredje land men de har vissa begräsningar. T.ex.
måste en standardavtalsklausul undertecknas för varje
överföring och ibland behöver den uppdateras i fall av
ändringar i företagsstrukturen. Detta kan leda till att det
ibland behövs tusentals standardavtalsklausuler för att
täcka alla överföringar inom koncernen. BFR kan täcka
ett avsevärt antal överföringar inom en koncern och framstår därmed som en bättre lösning jämfört med standardavtalsklausuler.
Vid överföring till USA används ofta Safe Harbourprinciperna. Även där finns det dock en begränsning efter­
­som det inte är alla företag som får ansluta sig till Safe
Harbour-principerna, utan endast företag som är under
tillsyn av Federal Trade Commission eller Deptartment of
Transportation. I avsaknad av BFR krävs det ett avtal för
varje överföring till USA inom en sådan koncern. Därför
blir BFR ett lämpligt och effektivt verktyg för överföringar inom den finansiella sektorn och telekomsektorn. Hittills har flera företag inom den finansiella sektorn såsom
American Express, Citigroup, JPMorgan Chase och
­Société Génerale börjat använda sig av BFR. Förutom den
finansiella sektorn verkar BFR tillämpas flitigt av
läkemedels­företag, företag inom hälsovården, elektronikföretag och liknande.
En klar fördel med BFR är att ansökningsförfarandet
är förhållandevis enkelt på så sätt att huvudmyndigheten
sköter kommunikationen med de övriga myndigheterna
och det sökande företaget endast behöver kommunicera
med huvudmyndigheten. Så här långt har flest BFR som
gäller i Sverige godkänts av dataskyddsmyndigheter i Storbritannien och Nederländerna. Trots att Datainspektionen
har erfarenhet av att hantera BFR-frågor har den agerat
huvudmyndighet i endast ett fall. Ericsson är det första
företaget i Sverige som nyligen ansökt om godkännande
av BFR med Datainspektionen som huvudmyndighet.
Lov&Data nr. 117 - Mars 2014
13
Sist men inte minst kräver BFR en kontinuerlig upp­
följning och utbildning av personal. Även om detta vid en
första anblick framstår som en kostnad, i långa loppet
­resulterar det i en ökad medvetenhet om personuppgiftsfrågor. Personuppgiftsbehandlingen förbättras på en global nivå och ett företags risk att oavsiktligt bryta mot
person­uppgiftsregler minskar drastiskt.
Thomas Lindqvist
är delägare och ansvarig för IP/TMT och arbetsrättsgruppen hos advokatfirman Hammarskiöld & Co,
med stor erfarenhet inom IT, immaterialrätt, arbetsrätt
och marknadsrättsligt relaterade frågor.
Bojana Saletic
är biträdande jurist i
advokatfirman Hammarskiöld & Co:s
och medlem i advokatfirmans IP/TMT grupp.
Hon arbetar bl a med immaterialrätt och IT-rätt.
8 Mer information och förslag om innehållet i BFR går
att hitta i dokument WP 154 utarbetat av Arbets­
gruppen 29 som verkar under artikel 29 av Dataskyddsdirektivet och har för uppgift att självständigt
uppfylla en rådgivande funktion avseende direktivet.
9 Vilka rättigheter som den registrerade ska ha framgår
av Kommissionens beslut 2001/497/EG, bilaga 1,
klausul 3. Se även WP 74, Transfers of personal data
to third countries: Applying Article 26(2) of the EU
Data Protection Directive to Binding Corporate Rules
for International Data Transfers, s 12.
Noter:
1 Se Dataskyddsdirektivet (direktiv 95/46/EG)
art 25 p 6.
10 Vilka anspråk som anses framgår av Explanatory
Document on the Processor Binding Corporate Rules,
WP 204, s 10.
2 Enligt Kommissionens beslut anses adekvat skydds­
nivå föreligga i Andorra, Argentina, Australien, Kanada,
­Färöarna, Guernsey, Israel, Isle of Man, Jersey, Nya
Zeeland, Schweiz och Uruguay. För mer information se
http://ec.europa.eu/justice/data-protection/document/
international-transfers/adequacy/index_en.htm .
11 Ansökningsblanketterna är utarbetade av Arbetsgruppen 29 och tillgängliga på http://ec.europa.eu/
justice/data-protection/article-29/documentation/
opinion-recommendation/index_en.htm
3 Dataskyddsdirektivet art 26 p 2.
4 Se Kommissionens beslut 2001/497/EG om standardavtalsklausuler för överföring av personuppgifter till tredje land av den 15 juni 2001 och Kommissionens beslut
2004/915/EG av den 27 december 2004 när överföring
sker till personuppgiftsansvarig samt Kommissionens beslut 2010/87/EU av den 5 februari 2010 när överföring
sker till personuppgiftsbiträde.
5 Bindande företagsinterna regler kallas även för bind­ande
företagsregler eller bindande bestämmelser. På engelska
kallas dem Binding Corporate Rules (BCR).
6 Se Personuppgiftslagen (PUL) § 35.
14
7 I denna artikel används terminologi i enlighet med
PUL. Personuppgiftsansvarig är den som bestämmer
ändamålen med och medlen för behandlingen av
person­uppgifter, personuppgiftsbiträde är den som behandlar personuppgifter för personuppgiftsansvariges
räkning. Underbiträde är den som behandlar personuppgifter enligt uppdrag från personuppgiftsbiträde. I
den svenska översättningen av Dataskyddsdirektivet
används begreppet registeransvarig istället för personuppgiftsansvarig och registerförare istället för personuppgiftsbiträde.
12 Det kan handla om riktlinjer för behandling, guidelines för anställda, revisionsplan, utbildningsprogram,
beskrivning av systemet för behandling av klagomål
osv.
13 Följande länder är anslutna: Belgien, Bulgarien,
­Cypern, Tjeckien, Estonia, Frankrike, Tyskland, Island,
Irland, Italien, Lettland, Liechtenstein, Luxembourg,
Malta, Nederländerna, Norge, Slovakien, Slovenien,
Spanien, Storbritannien och Österrike.
14 Se förslag till Europaparlamentets och Rådets förordning om skydd för enskilda personer med avseende
på behandling av personuppgifter och om det fria flöd­
et av sådana uppgifter (allmän uppgiftsskyddsförordning) art 42-43.
15 Se Datainspektionens yttrande av den 12 mars 2013,
diarienr. 250-2012, Kommissionens förslag till dataskyddsförordning (KOM (2012) 11 slutlig), s 4.
Lov&Data nr. 117 - Mars 2014