Malin Tønseth - Overføring av personopplysninger til utlandet

Overføring av personopplysninger
til tredjeland
Forum Rettsinformatikk 2013
Senioradvokat, Malin Tønseth
24. mai 2013
www.svw.no
Oversikt
• Bakgrunn og regelverk
• Overføring – sentrale prinsipper
• Bruk av Model Clauses (SCC)
• Binding Corporate Rules (BCR)
• BCR for databehandlere (PBCR)
side 2
Trender - internasjonale overføringer
• Økende flyt av personopplysninger over landegrensene
–Internasjonale konserner
–Outsourcing av IT-tjenester i stor skala
–Bruk av driftsleverandører og underleverandører
–Tjenester levert av utenlandske virksomheter
–Skytjenester (cloud computing)
3
Regelverk
• EUs personverndirektiv (EU Directive 95/46 )
–
–
•
Skal beskytte individets grunnleggende rettigheter og friheter, herunder
privatlivets fred
Skal sikre fri flyt av personopplysninger mellom medlemslandene (velfungerende
indre marked)
Art 1(2): medlemslandene skal ikke hindre eller forby fri flyt av
personopplysninger av hensyn til personvernet
• Forslag til ny personvernforordning COM(2012) 11/4 draft
• Personopplysningsloven (lov 2000 nr 31)
4
Roller, krav og prinsipper
Generelle prinsipper:
•
Rettslig grunnlag/behandlingsgrunnlag
•
Strengere vern for sensitive personopplysninger
•
Formålsbestemt innsamling og behandling
•
Datakvalitet og sletting
•
Informasjon og innsyn
•
Informasjonssikkerhet
Praktisk viktig:
•
Databehandleravtale (BA-DB)
•
Melde- og konsesjonsplikt
•
Internkontroll
Roller:
•
Behandlingsansvarlig: bestemmer formål og hjelpemidler
•
Databehandler: behandler personopplysninger på vegne av behandlingsansvarlig
•
Den registrerte: den opplysningene gjelder
Hovedregler - overføring
• Bare adgang til å overføre til stater som sikrer ”forsvarlig
behandling”, jf pol § 29
–(EØS-området )
• Som utgangspunkt forbudt å overføre til ”tredjeland”
(utenfor EØS)
• Unntak: ”tilstrekkelige garantier” jf pol § 30 (2)
Hva menes med overføring?
• Regelverket gir ikke definisjon…
• En rekke typetilfeller:
– Publisering på internett/intranett
– Forsendelse på e-post eller annet medium
– Lagring og behandling i tredjeland
– Tilgjengeliggjøring fra tredjeland (serveraksess etc.)
• Kommunikasjon som passerer tredjeland helt midlertidig er
ikke overføring (data i transitt)
7
Grunnlag for overføring til tredjeland
1.
2.
3.
4.
5.
6.
”Godkjente” land
Safe Harbor (USA)
Individuelle unntak, jf § 30 (1) a-h
EUs standardkontrakter (SCC)
Binding Corporate Rules (BCR)
Nytt: BCR for databehandler (PBCR)
8
1. Godkjente land
• EU kommisjonen har så langt akseptert følgende land som ”forsvarlige” mottakere av
personopplysninger:
–
–
–
–
–
–
–
–
–
–
–
Andorra
Argentina
Australia
Canada
Sveits
Færøyene
Guernsey
Israel
Isle of Man,
Jersey
United States' Bureau of Customs and Border Protection (bare fsv. angår overføring av navnelister for
flypassasjerer)
9
2. Safe Harbor
•
•
•
•
•
Særavtale mellom EU og USA som regulerer overføring av personopplysninger
Inngått i 2000 i medhold av personverndirektivet art. 25 (6)
Gjelder kun overføring av personopplysninger fra et EU-/EØS-land til USA
Amerikanske virksomheter kan frivillig inngå avtale under SH
Virksomhetene forplikter seg til å oppfylle en liste av krav overfor United States
Department of Commerce.
• Gir behandlingsansvarlig mulighet til å overføre personopplysninger til USA uten
tilleggsgarantier når den importerende virksomheten er tilsluttet Safe Harbor-avtalen
• Onward-transfer krever særskilt grunnlag (for eksempel SH-underleverandør eller
ved bruk av SCC)
10
3. Individuelle unntak - pol § 30
Overføring lovlig når:
• Den registrerte har samtykket til overføringen
• Plikt til å overføre opplysningene (som følge av folkerettslig avtale eller medlemskap i
internasjonal organisasjon)
• Nødvendig for å:
– oppfylle en avtale med den registrerte,
– inngå eller oppfylle en avtale med en tredjeperson i den registrertes interesse,
– vareta den registrertes vitale interesser, eller
– fastsette, gjøre gjeldende eller forsvare et rettskrav
• Nødvendig eller følger av lov for å beskytte en viktig samfunnsinteresse
• Fastsatt i lov at det er adgang til å kreve opplysninger fra et offentlig register
11
4. Standard Contractual Clauses (SCC)
• Standard kontrakter for overføring godkjent av EU-kommisjonen
• ”Out-of –the-box” solution (turn-key, pre-fabric).
• Ved signering av kontrakten forplikter dataimportøren seg til å behandle opplysninger i
samsvar med krav som gjelder innenfor EU og EØS-området.
• SCC signeres som utgangspunkt uten nærmere tilpasning (bortsett fra vedlegg).
• Tillatt med mindre endringer for å tilpasse enkelte vilkår til virksomhetenes behov
men bør unngås om mulig.
• Hvis utformes egne vilkår: Datatilsynet vil måtte vurdere disse konkret.
12
SCC – controller-controller
• To alternative standardkontrakter:
– 2001/497/EC
– 2004/915/EC
• Overføring til virksomheter i tredjeland som selv opptrer som behandlingsansvarlig (virksomhet
som skal bruke opplysningene til eget formål)
• Inneholder standard databehandlingsprinsipper samt plikter for hhv eksportør og importør
• Visse minimumsopplysninger skal spesifiseres nærmere i vedlegg til kontrakten, bl.a.:
– Hvem opplysningene gjelder (registrerte)
– Hvilke typer av opplysninger som overføres
– Formålet med overføringen
– Hvem som har tilgang til opplysningene
– Oppbevaringstid
13
SCC – controller-processor
• 2010/87/EU (”erstatter” tidligere vilkår fra 2002)
• Overføring av personopplysninger til databehandler (DB) i tredjeland, som skal behandle
opplysningene på vegne av den behandlingsansvarlige (BA)
• Forplikter DB til å følge instruks fra BA samt å overholde forpliktelsene som fastsatt i
kontrakten.
• Gir den registrerte visse rettigheter overfor DB (”tredjemannsløfte”)
• Visse minimumsopplysninger skal nærmer spesifiseres i vedlegg til kontrakten, bl.a.:
– Hvem opplysningene gjelder (registrerte)
– Hvilke typer av opplysninger som overføres
– Hvilken behandling opplysningene vil bli underlagt
– Beskrivelse av tekniske og organisatoriske sikkerhetsforanstaltninger
14
Overføring på grunnlag av SCC
• Utfylt SCC sendes til DT
• Anmodning om overføring på grunnlag av SCC
• DT’s saksbehandlingstid varierer
– typisk 4-8 uker hvis ingen endringer i vilkår
15
5. Binding Corporate Rules (BCR)
• BCR for behandlingsansvarlige (BA)
– regulerer overføring av personopplysninger internt i et konsern,
personopplysninger som opprinnelig er samlet inn av behandlingsansvarlige
selv (opplysninger om ansatte, kunder etc.)
– Hensiktsmessig for konserner med flere enheter/selskaper både innenfor og
utenfor EØS, som trenger smidig grunnlag for lovlig overføring av
opplysninger mellom enhetene.
– Omfatter ikke overføring til eksterne selskaper (f.eks databehandlere)
16
Hva dekker BCR?
EØS
EEA
Tredjeland
Ekstern
virksomhet
(USA)
• Safe
Habor
Ekstern
virksomhet
• SCC
BCR – BA konsernet
Hva som forventes av BCR
Rettslig grunnlag - veiledninger fra Art 29-gruppen:
• WP 153:Checkliste for BCR - krav til innhold
• WP 154:Eksempel på rammeverk for BCR (”mal”)
• WP 155:FAQs
18
Hvordan etablere BCR
• Utpeke ”lead Data Protection Authority” (lead DPA) – typisk datatilsynet i morselskapets
etableringsland, hvis innenfor EØS – søknadsformular til DT
• Utarbeide BCR grunnlag:
– Overordnet BCR-rammeverk –”policy dokument”
– Interne prosedyrer og rutiner (revisjon, opplæring mv.)
– Forpliktelse for alle selskaper til å følge BCRen
– Databehandleravtaler/SCC
• Innsende formell BCR-søknad, på grunnlag av søknadsformular, til lead DPA som initierer
prosess med involvering av utpekte DT (under ”mutual recognition” jf. WP107).
• Endelig godkjenning av BCR og ferdigstilling av søkeprosess
• Søknad til relevante DT om overføring på grunnlag av godkjent BCR
19
6. PBCR – nytt fra 2012
• BCR for databehandlere (PBCR):
– PBCR åpner for at databehandlere kan få godkjent egne interne retningslinjer for
sikker behandling og overføring av kundenes personopplysninger.
– Regulerer databehandlers konserninterne overføringer av personopplysninger som er
innhentet fra og behandles på vegne av kunder (BA)
– På bakgrunn av godkjent PBCR, kan tjenesteleverandør få status som "sikker
databehandler”.
– Gir kunden/BA mulighet til å velge en tjenesteleverandør som overholder EUlovgivningens strenge krav til overføringer av personopplysninger globalt.
– Innebærer samtidig en hensiktsmessig selvregulering.
20
Hva dekker PBCR?
EØS
EEA
BA
Tredjeland
BA
PBCR
(databehandler konsern)
Ekstern
virksomhet
(USA)
• Safe
Habor
Ekstern
virksomhet
• SCC
Hva forventes av PBCR
• Rettslig grunnlag - veiledninger fra Art 29-gruppen:
 WP 195 (6. juni 2012): Krav til innhold og struktur
 WP 204 (19. april 2013): Veiledning vedr. etablering og inngåelse av avtaler
• Samtlige DBs selskaper må forplikte seg til å respektere PBCRen
• DB-(mor)selskap etablert innen EØS-området skal påta seg ansvaret for samtlige DB-selskaps
etterlevelse av kravene.
• Flytter ikke ansvaret for opplysningene fra BA til DB
• BA fortsatt ansvarlig for at DB gir tilstrekkelige garantier for sikkerheten til dataene mv. slik
at BA kan overholde sine plikter ihht. regelverket.
22
Hvordan ”avtale” PBCR
• PBCR bindende ved henvisning fra SLA til PBCR (som et vedlegg til avtalen)
• DB/Tjenesteleverandør skal gi nødvendig informasjon til kunden/BA.
• Kunden/BA skal gi nødvendig informasjon til de registrerte om at overføringene potensielt
kan skje til ikke-godkjente tredjeland.
• Kunden/BA skal også gi informasjon om PBCR som grunnlag for overføringene og de
relevante tredjeland.
• De registrerte skal ha rett til, ved forespørsel, å få innsyn i PBCR (men ikke tilgang til
konfidensiell informasjon).
• Klare konfidensialitets- og sikkerhetstiltak skal være henvist til (via en elektronisk link).
• SLAen skal inneholde klare instrukser for tjenesteleverandørens behandling av
personopplysninger på vegne av kunden/BA.
23