Malin Tønseth - Overføring av personopplysninger til utlandet
Transcription
Malin Tønseth - Overføring av personopplysninger til utlandet
Overføring av personopplysninger til tredjeland Forum Rettsinformatikk 2013 Senioradvokat, Malin Tønseth 24. mai 2013 www.svw.no Oversikt • Bakgrunn og regelverk • Overføring – sentrale prinsipper • Bruk av Model Clauses (SCC) • Binding Corporate Rules (BCR) • BCR for databehandlere (PBCR) side 2 Trender - internasjonale overføringer • Økende flyt av personopplysninger over landegrensene –Internasjonale konserner –Outsourcing av IT-tjenester i stor skala –Bruk av driftsleverandører og underleverandører –Tjenester levert av utenlandske virksomheter –Skytjenester (cloud computing) 3 Regelverk • EUs personverndirektiv (EU Directive 95/46 ) – – • Skal beskytte individets grunnleggende rettigheter og friheter, herunder privatlivets fred Skal sikre fri flyt av personopplysninger mellom medlemslandene (velfungerende indre marked) Art 1(2): medlemslandene skal ikke hindre eller forby fri flyt av personopplysninger av hensyn til personvernet • Forslag til ny personvernforordning COM(2012) 11/4 draft • Personopplysningsloven (lov 2000 nr 31) 4 Roller, krav og prinsipper Generelle prinsipper: • Rettslig grunnlag/behandlingsgrunnlag • Strengere vern for sensitive personopplysninger • Formålsbestemt innsamling og behandling • Datakvalitet og sletting • Informasjon og innsyn • Informasjonssikkerhet Praktisk viktig: • Databehandleravtale (BA-DB) • Melde- og konsesjonsplikt • Internkontroll Roller: • Behandlingsansvarlig: bestemmer formål og hjelpemidler • Databehandler: behandler personopplysninger på vegne av behandlingsansvarlig • Den registrerte: den opplysningene gjelder Hovedregler - overføring • Bare adgang til å overføre til stater som sikrer ”forsvarlig behandling”, jf pol § 29 –(EØS-området ) • Som utgangspunkt forbudt å overføre til ”tredjeland” (utenfor EØS) • Unntak: ”tilstrekkelige garantier” jf pol § 30 (2) Hva menes med overføring? • Regelverket gir ikke definisjon… • En rekke typetilfeller: – Publisering på internett/intranett – Forsendelse på e-post eller annet medium – Lagring og behandling i tredjeland – Tilgjengeliggjøring fra tredjeland (serveraksess etc.) • Kommunikasjon som passerer tredjeland helt midlertidig er ikke overføring (data i transitt) 7 Grunnlag for overføring til tredjeland 1. 2. 3. 4. 5. 6. ”Godkjente” land Safe Harbor (USA) Individuelle unntak, jf § 30 (1) a-h EUs standardkontrakter (SCC) Binding Corporate Rules (BCR) Nytt: BCR for databehandler (PBCR) 8 1. Godkjente land • EU kommisjonen har så langt akseptert følgende land som ”forsvarlige” mottakere av personopplysninger: – – – – – – – – – – – Andorra Argentina Australia Canada Sveits Færøyene Guernsey Israel Isle of Man, Jersey United States' Bureau of Customs and Border Protection (bare fsv. angår overføring av navnelister for flypassasjerer) 9 2. Safe Harbor • • • • • Særavtale mellom EU og USA som regulerer overføring av personopplysninger Inngått i 2000 i medhold av personverndirektivet art. 25 (6) Gjelder kun overføring av personopplysninger fra et EU-/EØS-land til USA Amerikanske virksomheter kan frivillig inngå avtale under SH Virksomhetene forplikter seg til å oppfylle en liste av krav overfor United States Department of Commerce. • Gir behandlingsansvarlig mulighet til å overføre personopplysninger til USA uten tilleggsgarantier når den importerende virksomheten er tilsluttet Safe Harbor-avtalen • Onward-transfer krever særskilt grunnlag (for eksempel SH-underleverandør eller ved bruk av SCC) 10 3. Individuelle unntak - pol § 30 Overføring lovlig når: • Den registrerte har samtykket til overføringen • Plikt til å overføre opplysningene (som følge av folkerettslig avtale eller medlemskap i internasjonal organisasjon) • Nødvendig for å: – oppfylle en avtale med den registrerte, – inngå eller oppfylle en avtale med en tredjeperson i den registrertes interesse, – vareta den registrertes vitale interesser, eller – fastsette, gjøre gjeldende eller forsvare et rettskrav • Nødvendig eller følger av lov for å beskytte en viktig samfunnsinteresse • Fastsatt i lov at det er adgang til å kreve opplysninger fra et offentlig register 11 4. Standard Contractual Clauses (SCC) • Standard kontrakter for overføring godkjent av EU-kommisjonen • ”Out-of –the-box” solution (turn-key, pre-fabric). • Ved signering av kontrakten forplikter dataimportøren seg til å behandle opplysninger i samsvar med krav som gjelder innenfor EU og EØS-området. • SCC signeres som utgangspunkt uten nærmere tilpasning (bortsett fra vedlegg). • Tillatt med mindre endringer for å tilpasse enkelte vilkår til virksomhetenes behov men bør unngås om mulig. • Hvis utformes egne vilkår: Datatilsynet vil måtte vurdere disse konkret. 12 SCC – controller-controller • To alternative standardkontrakter: – 2001/497/EC – 2004/915/EC • Overføring til virksomheter i tredjeland som selv opptrer som behandlingsansvarlig (virksomhet som skal bruke opplysningene til eget formål) • Inneholder standard databehandlingsprinsipper samt plikter for hhv eksportør og importør • Visse minimumsopplysninger skal spesifiseres nærmere i vedlegg til kontrakten, bl.a.: – Hvem opplysningene gjelder (registrerte) – Hvilke typer av opplysninger som overføres – Formålet med overføringen – Hvem som har tilgang til opplysningene – Oppbevaringstid 13 SCC – controller-processor • 2010/87/EU (”erstatter” tidligere vilkår fra 2002) • Overføring av personopplysninger til databehandler (DB) i tredjeland, som skal behandle opplysningene på vegne av den behandlingsansvarlige (BA) • Forplikter DB til å følge instruks fra BA samt å overholde forpliktelsene som fastsatt i kontrakten. • Gir den registrerte visse rettigheter overfor DB (”tredjemannsløfte”) • Visse minimumsopplysninger skal nærmer spesifiseres i vedlegg til kontrakten, bl.a.: – Hvem opplysningene gjelder (registrerte) – Hvilke typer av opplysninger som overføres – Hvilken behandling opplysningene vil bli underlagt – Beskrivelse av tekniske og organisatoriske sikkerhetsforanstaltninger 14 Overføring på grunnlag av SCC • Utfylt SCC sendes til DT • Anmodning om overføring på grunnlag av SCC • DT’s saksbehandlingstid varierer – typisk 4-8 uker hvis ingen endringer i vilkår 15 5. Binding Corporate Rules (BCR) • BCR for behandlingsansvarlige (BA) – regulerer overføring av personopplysninger internt i et konsern, personopplysninger som opprinnelig er samlet inn av behandlingsansvarlige selv (opplysninger om ansatte, kunder etc.) – Hensiktsmessig for konserner med flere enheter/selskaper både innenfor og utenfor EØS, som trenger smidig grunnlag for lovlig overføring av opplysninger mellom enhetene. – Omfatter ikke overføring til eksterne selskaper (f.eks databehandlere) 16 Hva dekker BCR? EØS EEA Tredjeland Ekstern virksomhet (USA) • Safe Habor Ekstern virksomhet • SCC BCR – BA konsernet Hva som forventes av BCR Rettslig grunnlag - veiledninger fra Art 29-gruppen: • WP 153:Checkliste for BCR - krav til innhold • WP 154:Eksempel på rammeverk for BCR (”mal”) • WP 155:FAQs 18 Hvordan etablere BCR • Utpeke ”lead Data Protection Authority” (lead DPA) – typisk datatilsynet i morselskapets etableringsland, hvis innenfor EØS – søknadsformular til DT • Utarbeide BCR grunnlag: – Overordnet BCR-rammeverk –”policy dokument” – Interne prosedyrer og rutiner (revisjon, opplæring mv.) – Forpliktelse for alle selskaper til å følge BCRen – Databehandleravtaler/SCC • Innsende formell BCR-søknad, på grunnlag av søknadsformular, til lead DPA som initierer prosess med involvering av utpekte DT (under ”mutual recognition” jf. WP107). • Endelig godkjenning av BCR og ferdigstilling av søkeprosess • Søknad til relevante DT om overføring på grunnlag av godkjent BCR 19 6. PBCR – nytt fra 2012 • BCR for databehandlere (PBCR): – PBCR åpner for at databehandlere kan få godkjent egne interne retningslinjer for sikker behandling og overføring av kundenes personopplysninger. – Regulerer databehandlers konserninterne overføringer av personopplysninger som er innhentet fra og behandles på vegne av kunder (BA) – På bakgrunn av godkjent PBCR, kan tjenesteleverandør få status som "sikker databehandler”. – Gir kunden/BA mulighet til å velge en tjenesteleverandør som overholder EUlovgivningens strenge krav til overføringer av personopplysninger globalt. – Innebærer samtidig en hensiktsmessig selvregulering. 20 Hva dekker PBCR? EØS EEA BA Tredjeland BA PBCR (databehandler konsern) Ekstern virksomhet (USA) • Safe Habor Ekstern virksomhet • SCC Hva forventes av PBCR • Rettslig grunnlag - veiledninger fra Art 29-gruppen: WP 195 (6. juni 2012): Krav til innhold og struktur WP 204 (19. april 2013): Veiledning vedr. etablering og inngåelse av avtaler • Samtlige DBs selskaper må forplikte seg til å respektere PBCRen • DB-(mor)selskap etablert innen EØS-området skal påta seg ansvaret for samtlige DB-selskaps etterlevelse av kravene. • Flytter ikke ansvaret for opplysningene fra BA til DB • BA fortsatt ansvarlig for at DB gir tilstrekkelige garantier for sikkerheten til dataene mv. slik at BA kan overholde sine plikter ihht. regelverket. 22 Hvordan ”avtale” PBCR • PBCR bindende ved henvisning fra SLA til PBCR (som et vedlegg til avtalen) • DB/Tjenesteleverandør skal gi nødvendig informasjon til kunden/BA. • Kunden/BA skal gi nødvendig informasjon til de registrerte om at overføringene potensielt kan skje til ikke-godkjente tredjeland. • Kunden/BA skal også gi informasjon om PBCR som grunnlag for overføringene og de relevante tredjeland. • De registrerte skal ha rett til, ved forespørsel, å få innsyn i PBCR (men ikke tilgang til konfidensiell informasjon). • Klare konfidensialitets- og sikkerhetstiltak skal være henvist til (via en elektronisk link). • SLAen skal inneholde klare instrukser for tjenesteleverandørens behandling av personopplysninger på vegne av kunden/BA. 23