190 likes | 342 Views
Overføring av personopplysninger – Binding Corporate Rules. Forum rettsinformatikk 10. og 11. mai 2012 Thomas Olsen. Bakgrunn. Økende flyt av personopplysinger over landegrensene Internasjonale konserner Tjenester levert av utenlandske virksomheter
E N D
Overføring av personopplysninger – Binding CorporateRules Forum rettsinformatikk 10. og 11. mai 2012 Thomas Olsen
Bakgrunn • Økende flyt av personopplysinger over landegrensene • Internasjonale konserner • Tjenester levert av utenlandske virksomheter • Bruk av driftsleverandører og underleverandører • Skytjenester (cloudcomputing)
EUs personverndirektiv 95/46/EF To hovedformål: • Beskytte individets grunnleggende rettigheter og friheter, herunder privatlivets fred • Sikre fri flyt av personopplysninger mellom medlemslandene (velfungerende indre marked) • Art 1(2): medlemslandene skal ikke hindre eller forby fri flyt av personopplysninger av hensyn til personvernet
Hovedregler • Bare adgang til å overføre til stater som sikrer ”forsvarlig behandling”, jf § 29 • (EØS-området ) • Forbudt å overføre til ”tredjeland” (utenfor EØS)
Risiko/utfordringer ved overføring • Unngå omgåelse av reglene (”data havens”) • Vanskeligere å ha kontroll på egne opplysninger • Begrensninger i tilsynsmyndigheters kompetanse og ressurser • Lovgivning i tredjeland som påbyr utlevering
Hva menes med overføring? • Regelverket gir ikke definisjon • Typetilfeller • El. kommunikasjon som passerer tredjeland ikke overføring • Publisering på internett (EF-domstolen, Bodil Lindqvist) • Forsendelse på e-post eller annet medium • Opplysninger lagres og behandles i tredjeland • Opplysninger er tilgjengelig fra tredjeland
Grunnlag for overføring til tredjeland • ”Godkjente” land • Safe Harbor (USA) • Individuelle unntak, jf § 30 (1) a-h • EUs standardkontrakter (SCC) • Binding CorporateRules (BCR)
1. ”Godkjente” land • Land vurdert til å ha ”adequatelevelofprotection” av EU-kommisjonen, jf direktivet art 25 (6): • Andorra • Argentina • Australia • Canada • Færøyene • Guernsey • Isle of Man • Israel • Jersey • Sveits
2. Safe Harbor • Avtale mellom EU-kommisjonen og US Department of Commerce • Overføring tillatt til amerikanske virksomheter som følger Safe Harbor-prinsippene • ”Onward transfer” tillatt til • Safe Harbor-sertifiserte virksomheter • Virksomheter underlagt tilsvarende forpliktelser
3. Individuelle unntak • § 30 (1) a-h: • a) Samtykke • c) Oppfyllelse av avtale med registrerte • d) Inngå eller oppfylle avtale med tredjepart i den registrertes interesse • f) Fastsette, gjøre gjeldende rettskrav • mv
4. EUs standardavtaler (SCC) • EU-kommisjonens standardavtaler • BA-BA • BA-DB • http://ec.europa.eu/justice/policies/privacy/modelcontracts/index_en.htm • Må forelegges Datatilsynet for godkjennelse • Særlige spørsmål • Bruk av underleverandører • Databehandler i EØS – underleverandører utenfor
5. Binding CorporateRules (BCR) • Overføring basert på konserninterne regler • Hensiktsmessig for konserner med flere selskaper både innenfor og utenfor EØS • Omfatter ikke eksterne selskaper • Rettslig grunnlag • Garantier fra behandlingsansvarlig, jf § 30 (2) • Veiledning fra Art 29-gruppen
Omfang BCR • Ekstern virksomhet(USA) • SafeHabor EU/EØS Tredjeland EEA • SCC • Ekstern virksomhet BCR – innenfor konsernet
Binding CorporateRules • Fordeler • Overføringsgrunnlag til selskaper i gruppen utenfor EØS • Mindre administrasjon når først er etablert (alternativ til SCC mv.) • Potensiale for konsistente regler og effektiv etterlevelse av personvernlovgivningen (”internkontroll”) • Signaleffekt internt og eksternt
Anvendelsesområde • Kan velge omfang • Alle eller enkelte behandlingsformål • Alle eller enkelte selskaper • Minimumsløsning eller full ”internkontroll” • Forholdet til nasjonal rett • Utgangspunkt i direktiv og/eller nasjonal rett • Regulering av motstrid mellom BCR og nasjonal rett
Krav til BCR • Angivelse av selskaper og behandlingsformål • Bindende regler for selskapene og ansatte • Må gi rettigheter til de registrerte • Effektiv etterlevelse • Retningslinjer og rutiner • Informasjon og opplæring • Personer med særlig ansvar (”data protectionofficers”) • Revisjon • Samarbeid med datatilsynsmyndigheter • Rutine for endring av BCR
Gjennomføring BCR-prosjekt • Søknad om ”lead authority” • Utarbeide BCR og tilleggsdokumenter • Kartlegge behandlinger • Utarbeide nødvendige veiledninger og rutiner • Søknad om godkjennelse av BCR • Søknad(er) om overføring basert på BCR
Forslag til ny EU-forordning • Art 43: krav og godkjennelsesordning for BCR • I hovedsak i tråd med dagens krav • Tydeliggjøring av BCR som overføringsgrunnlag • Enklere og mer effektiv godkjenning • Forslag om at også databehandlere kan benytte BCR • Økte krav til dokumentasjon (”internkontroll”) antas å kunne dekkes av en bredt anlagt BCR
Takk for oppmerksomheten! • SIMONSEN Advokatfirma • Thomas Olsen • to@simonsenlaw.no • +47 922 56 404