1 / 19

Overføring av personopplysninger – Binding Corporate Rules

Overføring av personopplysninger – Binding Corporate Rules. Forum rettsinformatikk 10. og 11. mai 2012 Thomas Olsen. Bakgrunn. Økende flyt av personopplysinger over landegrensene Internasjonale konserner Tjenester levert av utenlandske virksomheter

lavina
Download Presentation

Overføring av personopplysninger – Binding Corporate Rules

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Overføring av personopplysninger – Binding CorporateRules Forum rettsinformatikk 10. og 11. mai 2012 Thomas Olsen

  2. Bakgrunn • Økende flyt av personopplysinger over landegrensene • Internasjonale konserner • Tjenester levert av utenlandske virksomheter • Bruk av driftsleverandører og underleverandører • Skytjenester (cloudcomputing)

  3. EUs personverndirektiv 95/46/EF To hovedformål: • Beskytte individets grunnleggende rettigheter og friheter, herunder privatlivets fred • Sikre fri flyt av personopplysninger mellom medlemslandene (velfungerende indre marked) • Art 1(2): medlemslandene skal ikke hindre eller forby fri flyt av personopplysninger av hensyn til personvernet

  4. Hovedregler • Bare adgang til å overføre til stater som sikrer ”forsvarlig behandling”, jf § 29 • (EØS-området ) • Forbudt å overføre til ”tredjeland” (utenfor EØS)

  5. Risiko/utfordringer ved overføring • Unngå omgåelse av reglene (”data havens”) • Vanskeligere å ha kontroll på egne opplysninger • Begrensninger i tilsynsmyndigheters kompetanse og ressurser • Lovgivning i tredjeland som påbyr utlevering

  6. Hva menes med overføring? • Regelverket gir ikke definisjon • Typetilfeller • El. kommunikasjon som passerer tredjeland ikke overføring • Publisering på internett (EF-domstolen, Bodil Lindqvist) • Forsendelse på e-post eller annet medium • Opplysninger lagres og behandles i tredjeland • Opplysninger er tilgjengelig fra tredjeland

  7. Grunnlag for overføring til tredjeland • ”Godkjente” land • Safe Harbor (USA) • Individuelle unntak, jf § 30 (1) a-h • EUs standardkontrakter (SCC) • Binding CorporateRules (BCR)

  8. 1. ”Godkjente” land • Land vurdert til å ha ”adequatelevelofprotection” av EU-kommisjonen, jf direktivet art 25 (6): • Andorra • Argentina • Australia • Canada • Færøyene • Guernsey • Isle of Man • Israel • Jersey • Sveits

  9. 2. Safe Harbor • Avtale mellom EU-kommisjonen og US Department of Commerce • Overføring tillatt til amerikanske virksomheter som følger Safe Harbor-prinsippene • ”Onward transfer” tillatt til • Safe Harbor-sertifiserte virksomheter • Virksomheter underlagt tilsvarende forpliktelser

  10. 3. Individuelle unntak • § 30 (1) a-h: • a) Samtykke • c) Oppfyllelse av avtale med registrerte • d) Inngå eller oppfylle avtale med tredjepart i den registrertes interesse • f) Fastsette, gjøre gjeldende rettskrav • mv

  11. 4. EUs standardavtaler (SCC) • EU-kommisjonens standardavtaler • BA-BA • BA-DB • http://ec.europa.eu/justice/policies/privacy/modelcontracts/index_en.htm • Må forelegges Datatilsynet for godkjennelse • Særlige spørsmål • Bruk av underleverandører • Databehandler i EØS – underleverandører utenfor

  12. 5. Binding CorporateRules (BCR) • Overføring basert på konserninterne regler • Hensiktsmessig for konserner med flere selskaper både innenfor og utenfor EØS • Omfatter ikke eksterne selskaper • Rettslig grunnlag • Garantier fra behandlingsansvarlig, jf § 30 (2) • Veiledning fra Art 29-gruppen

  13. Omfang BCR • Ekstern virksomhet(USA) • SafeHabor EU/EØS Tredjeland EEA • SCC • Ekstern virksomhet BCR – innenfor konsernet

  14. Binding CorporateRules • Fordeler • Overføringsgrunnlag til selskaper i gruppen utenfor EØS • Mindre administrasjon når først er etablert (alternativ til SCC mv.) • Potensiale for konsistente regler og effektiv etterlevelse av personvernlovgivningen (”internkontroll”) • Signaleffekt internt og eksternt

  15. Anvendelsesområde • Kan velge omfang • Alle eller enkelte behandlingsformål • Alle eller enkelte selskaper • Minimumsløsning eller full ”internkontroll” • Forholdet til nasjonal rett • Utgangspunkt i direktiv og/eller nasjonal rett • Regulering av motstrid mellom BCR og nasjonal rett

  16. Krav til BCR • Angivelse av selskaper og behandlingsformål • Bindende regler for selskapene og ansatte • Må gi rettigheter til de registrerte • Effektiv etterlevelse • Retningslinjer og rutiner • Informasjon og opplæring • Personer med særlig ansvar (”data protectionofficers”) • Revisjon • Samarbeid med datatilsynsmyndigheter • Rutine for endring av BCR

  17. Gjennomføring BCR-prosjekt • Søknad om ”lead authority” • Utarbeide BCR og tilleggsdokumenter • Kartlegge behandlinger • Utarbeide nødvendige veiledninger og rutiner • Søknad om godkjennelse av BCR • Søknad(er) om overføring basert på BCR

  18. Forslag til ny EU-forordning • Art 43: krav og godkjennelsesordning for BCR • I hovedsak i tråd med dagens krav • Tydeliggjøring av BCR som overføringsgrunnlag • Enklere og mer effektiv godkjenning • Forslag om at også databehandlere kan benytte BCR • Økte krav til dokumentasjon (”internkontroll”) antas å kunne dekkes av en bredt anlagt BCR

  19. Takk for oppmerksomheten! • SIMONSEN Advokatfirma • Thomas Olsen • to@simonsenlaw.no • +47 922 56 404

More Related