200 likes | 329 Views
Myndigheter og personvernkrenkelser. Beskytter norsk og europeisk rett mot personvernkrenkelser fra myndigheter i tredjeland? Advokat Arve Føyen. Sosiale medier og skytjenester. Betydelig trafikkøkning hvert år, og endringer i trafikkmønstre. Personopplysningslovens virkeområde.
E N D
Myndigheter og personvernkrenkelser Beskytter norsk og europeisk rett mot personvernkrenkelser fra myndigheter i tredjeland? Advokat Arve Føyen
Betydelig trafikkøkning hvert år, og endringer i trafikkmønstre
Personopplysningslovens virkeområde • § 4 Geografisk virkeområde • Virksomheter ”etablert i Norge” • Virksomheter ”etablert i stater utenfor EØS-området behandlingsansvarlig benytter hjelpemidler i Norge” • Unntak: Ren overføring via Norge faller utenfor • Egne regler om overføring fra Norge til utlandet • Innen EØS • Utenfor EØS
Overføring til utlandet - § 29 -Grunnleggende vilkår • Personopplysninger kan bare overføres til stater som sikrer en forsvarlig behandling av opplysningene. • Stater som har gjennomført direktiv 95/46/EF (EU’s Personvern-direktiv), oppfyller kravet til forsvarlig behandling.
Overføring til utlandet - § 29 -Grunnleggende vilkår • I vurderingen av om behandlingen sikres på forsvarlig måte, skal det bl.a. legges vekt på • opplysningenes art • den planlagte behandlingens formål og varighet • de rettsregler, regler for god forretningsskikk og sikkerhetstiltak som gjelder i vedkommende stat • Det skal også legges vekt på om staten har tiltrådt Europarådets konvensjon 28. januar 1981 nr. 108 om personvern i forbindelse med elektronisk behandling av personopplysninger
POL § 30.1 - Unntak uten Datatilsynets samtykke • Personopplysninger kan også overføres til stater som ikke sikrer en forsvarlig behandling av opplysningene(«tredjeland») dersom a) den registrerte har samtykket i overføringen, b) det foreligger plikt til å overføre opplysningene etter folkerettslig avtale eller som følge av medlemskap i internasjonal organisasjon, c) overføringen er nødvendig for å oppfylle en avtale med den registrerte, eller for å utføre gjøremål etter den registrertes ønske før en slik avtale inngås,
POL § 30.1 - Unntak uten Datatilsynets samtykke (forts) • Personopplysninger kan også overføres til stater som ikke sikrer en forsvarlig behandling av opplysningene («tredjeland») dersom d) overføringen er nødvendig for å inngå eller oppfylle en avtale med en tredjeperson i den registrertes interesse, e) overføringen er nødvendig for å vareta den registrertes vitale interesser, f) overføringen er nødvendig for å fastsette, gjøre gjeldende eller forsvare et rettskrav, g) overføringen er nødvendig eller følger av lov for å beskytte en viktig samfunnsinteresse, eller h) det er fastsatt i lov at det er adgang til å kreve opplysninger fra et offentlig register
POL § 30.2 - Unntak med Datatilsynets samtykke • Datatilsynet kan tillate overføring selv om vilkårene i første ledd ikke er oppfylt • Dersom den behandlingsansvarlige gir tilstrekkelige garantier for vern av den registrertes rettigheter. • Datatilsynet kan sette vilkår for overføringen • Fire «godkjente» former for garanti: • EU’s «Standard contractualclauses» som skal sikre behandling i overensstemmelse med reglene i hjemlandet til behandlingsansvarlige • Ad hoc avtaler – samme krav til garantier som ved EU’s avtaler • BCR og BSPR (konsernavtaler for internasjonale konsern) • Til USA – hvis mottaker er Safe Harbor sertifisert
EU-direktivet - Kapittel VI Artikkel 13 Unntakogbegrensninger, pkt 1 Medlemsstaterne kan træffe lovmæssige foranstaltninger med henblik på at begrænse rækkevidden af de forpligtelser og rettigheder, der er omhandlet i • Artikel 6, stk. 1, (Grunnkravene til behandling) • Artikel 10, artikel 11, stk. 1 (opplysningsplikten) • Artikel 12 (innsynsretten) • Artikkel 21 (offentlig tilgjengelighet av opplysninger om hva slags behandlinger som finner sted) hvis en sådan begrænsning er en nødvendig foranstaltning af hensyn til:
EU-direktivet - Kapittel VI Artikkel 13 Unntakogbegrensninger, pkt 1 • Statens sikkerhed • Forsvaret • den offentlige sikkerhed • Forebyggelse, efterforskning, afsløring og retsforfølgning i straffesager eller i forbindelse med brud på etiske regler for lovregulerede erhverv • Væsentlige økonomiske eller finansielle interesser hos en medlemsstat eller Den Europæiske Union, herunder valuta-, budget- og skatteanliggender • En kontrol-, tilsyns- eller reguleringsopgave, selv af midlertidig karakter, der er et led i den offentlige myndighedsudøvelse på de i litra c), d) og e) nævnte områder • Beskyttelsen af den registreredes interesser eller andres rettigheder og frihedsrettigheder.
EU Standard contractualclauses • Dataimportøren Aksepterer og garanterer (avtalen § 5 b)) at • han ikke har grund til at tro, at han ifølge den lovgivning, han er underlagt, er forhindret i at følge de instrukser, han har modtaget fra dataeksportøren, og overholde sine forpligtelser i henhold til kontrakten, og • han, såfremt denne lovgivning ændres således, at det sandsynligvis vil få en væsentlig negativ indvirkning på de garantier og forpligtelser, der opnås ved hjælp af standardbestemmelserne, straks vil give dataeksportøren meddelelse om ændringen, så snart han får kendskab hertil, • hvorefter dataeksportøren i så fald har ret til at suspendere dataoverførslen og/eller ophæve kontrakten
EU Standard contractualclauses • Dataimportøren Aksepterer og garanterer (Avtalen § 5 d) )at han straks vil give dataeksportøren meddelelse om: • retshåndhævende myndigheders retligt bindende anmodninger om videregivelse af personoplysninger, medmindre dette på anden måde er forbudt, som for eksempel ved et forbud ifølge strafferetten med henblik på at sikre fortrolighed i efterforskningssager • enhver utilsigtet eller uautoriseret adgang og • anmodninger, der modtages direkte fra de registrerede, og som han ikke har besvaret, medmindre han på anden måde er bemyndiget dertil
Safe Harbor – begrensninger i plikten til å etterleve Overholdelsen af disse principper kan være begrænset (Bilag 1 avsnitt 4) • Til et niveau, der er tilstrækkeligt for at opfylde kravene med hensyn til statens sikkerhed, almenvellet eller opretholdelsen af lov og orden, • Af love, administrative bestemmelser eller retspraksis, der medfører modstridende forpligtelser osv • I det omfang, direktivet eller medlemsstaternes lovgivning tillader undtagelser eller dispensationer, såfremt sådanne undtagelser eller dispensationer også finder anvendelse i sammenlignelig kontekst.
Safe Harbor – begrensninger i plikten til å etterleve I overensstemmelse med det overordnede mål om at fremme beskyttelsen af privatlivets fred • Bør foretagenderne bestræbe sig på at gennemføre disse principper på fuldstændig og gennemskuelig vis • Hvilket omfatter, at de i deres program til beskyttelse af privatlivets fred angiver, på hvilke punkter eventuelle undtagelser fra principperne i henhold til ovenstående punkt b) finder generel anvendelse Når principperne og/eller den amerikanske lovgivning giver mulighed derfor, forventes foretagenderne af samme årsag at vælge et højere beskyttelsesniveau.
Komparativ analyse av ti jurisdiksjoner vedr CloudHogan Lovells White Paper – 18. juli 2012 • Myndigheterstilgangtilopplysninger- inklusive tilgang ut over egne landegrenser - finnes i alle jurisdiksjoner • Selv europeiske jurisdiksjoner med strengt personvernregime har anti-terroristlovgivning som tillater «hastetilgang» for myndighetene til Cloud (og andre) lagrede data • Ifølge studien er det en misoppfatning at data kan sikres ved at de legges i «trygge» jurisdiksjoner, f. eks avgrenset til Europa
Komparativ analyse av ti jurisdiksjoner vedr CloudHogan Lovells White Paper – 18. juli 2012 • Mutual Legal AssistanceTreaties (“MLATs”), gjør at såkalt «trygge» jurisdiksjoner i mindre grad kan sikre data • F. eks MLAT mellom USA og Tyskland effektiv i 2009 gjør at myndighetene i hvert av landene under gitte omstendigheter kan kreve og motta informasjon som befinner seg på det andre landets territorium (inklusive informasjon som befinner seg hos tredjepart – f. eks cloudleverandør) • Det forhold at en virksomhet lagrer sine data i andre jurisdiksjoner enn der de selv hører hjemme, beskytter i begrenset grad mot myndighetenes innsyn i opplysningene
Så kom Snowden og fortalte om en annen virkelighet Konklusjonen må bli • Norsk og Europeisk rett beskytter ikke mot personvernkrenkelser fra myndigheter i eget eller i andre land - hverken innenfor eller utenfor Europa • Pass på • hva du kommuniserer og med hvem • hva du legger ut på sosiale media • hvilke tekniske løsninger du benytter
Advokat Arve FøyenFØYEN Advokatfirma DA Mobil: +47 918 199 62 E-post: arve.foyen@foyen.no