Offshoring, skytjenester og Binding Corporate Rules - foredrag for Dataforeningen, 1. desember Bjørn Erik Thon Jørgen Skorstad

Transkript

1 Offshoring, skytjenester og Binding Corporate Rules - foredrag for Dataforeningen, 1. desember 2011 Bjørn Erik Thon Jørgen Skorstad

2 Dagens tema Kort om Datatilsynet Kort om den internasjonale utviklingen og Datatilsynets engasjement Nettskyen Overføring av personopplysninger til utlandet Binding Corporate Rules ( BCR )

3 Datatilsynet Håndhever personopplysningsloven, helseregisterloven og helseforsknings-loven Saksbehandling Tilsyn/kontroll Veiledning/informasjon Ombud 40 medarbeidere ( jurister, teknologer, samfunnsvitere, informasjonsfolk, administrativt personale)

4 Den internasjonale utvikling Globalisering Multinasjonale selskaper Internasjonalt arbeidsmarked Personopplysninger som handelsvare Behov for internasjonale mekanismer (Binding Corporate Rules) Nytt personverndirektiv i støpeskjeen

5 Nettskyen - Stor aktivitet både i offentlig og privat sektor - Datatilsynet har utarbeidet en veileder om bruk av nettskyen - IKT Norges initiativ - veileder - Berlin-gruppen - Odense kommune - Narvik kommune Side 5

6 Nettskyen..stikker kjepper i hjulene. Behandlingsansvarliges forpliktelser hva er det? Hvor mye må vi stole på andre uten å ha kontroll selv? Forholdet til store globale leverandører. Det vi har bedt om er at kommunen redegjør for sin forpliktelse etter personopplysingsloven Side 6

7 Nettskyen - Narvik kommune en prøvesak - Hvilke personopplysninger behandles i Google Apps - Den risikovurdering kommunen har fortatt - Segmentering av data - Kopi av avtalen + ev databehandleravtale - Hvem har tilgang hos Google? - sett i lys av bl.a. sikkerhetsforskriftens krav til risikovurdering og sikkerhetsrevisjon - Møte med Google Side 7 - Svar fra Narvik kommune

8 Side 8

9 BINDING CORPORATE RULES (BCR) Side 9

10 Hva er Binding Corporate Rules? betegnelsen på et sett regler om overføring og behandling av personopplysninger som gjelder internt i konsern med enheter i mange land Side 10

11 Formålet: BCR kan brukes til å oppfylle kravene i direktiv 95/46/EF artikkel 26 (2) som svarer til personopplysningsloven 30 andre ledd Stiller vilkår for overføring av personopplysninger til tredjeland Vilkåret er at den behandlingsansvarlige garanterer for vern av den registrertes rettigheter Side 11

12 Hva skal en BCR inneholde? Personvernprinsipper Gjennomsiktighet Datakvalitet Informasjonssikkerhet Verktøy som sikrer at BCR-ene får effekt i praksis Internkontroll Opplæring Klagebehandlingssystem Element som viser at BCR-ene er bindende Unilaterale erklæringer Bilaterale avtaler mellom selskapene Side 12

13 Hva er fordelene? Fri flyt av personopplysninger innad i konsernet, også til tredjeland Ensartet praksis i hele konsernet Redusert (personvern)risiko etter overføring til tredjeland Ikke nødvendig å kontraktsregulere hver enkelt overføring Ekstern kommunisering av konsernets policy Interne retningslinjer for ansattes håndtering av persondata Side 13

14 For hvem kan BCR være egnet? Selskaper som eksporterer store mengder persondata fra EU/EØS til andre selskaper i samme konsern, i land utenfor EU/EØS Hvem bør ikke satse på BCR? Mindre selskaper som eksporterer data i enkeltstående tilfeller, eller som ikke eksporterer data utenfor EU/EØS Side 14

15 Godkjennelsesprosedyren: BCR-ene skal alltid godkjennes av nasjonale personvernmyndigheter Dette fremgår av: Artikkel 26 (2) i direktiv 95/46/EF Personopplysningsloven 30 andre ledd Side 15

16 1. Utpeke Lead Authority Utgangspunktet: Personvernmyndigheten der hvor konsernets europeiske hovedkvarter er plassert Eventuelt: Personvernmyndigheten der hvor selskapet med delegert behandlingsansvar er plassert Personvernmyndigheten der de fleste beslutninger om behandlingsformål og hjelpemidler tas Personvernmyndigheten i det medlemslandet som eksporterer mest personopplysninger til tredjeland Side 16

17 2. Samarbeid mellom Datatilsynet og søker Forberedende dialog og veiledning Selskapet må selv utforme utkast til BCR må fylle ut og sende standardsøknad (WP 133) og BCR-utkast Datatilsynet går gjennom utkastet og søknaden gir tilbakemeldinger Selskapet Sender endelig søknad (med endringer etter tilsynets tilbakemeldinger) Side 17

18 3. Mutual Recognition Procedure (MRP) Bakgrunn: to år å behandle én søknad Samarbeid mellom personvernmyndighetene i Europa Lead Authority tar seg av grovarbeidet (drahjelp av to andre DPA) De andre myndighetene i ordningen aksepterer vurderingen gjort av Lead Authority Raskere godkjenning Side 18

19 4. Strafferunde Noen EU-land står utenfor Mutual Recognition Procedure Disse landene for eksempel Sverige deltar ikke pga. nasjonale begrensninger i adgangen til å delegere godkjenning etter personverndirektivet artikkel 26 (2) Personvernmyndighetene i disse landene skal derfor godkjenne BCR-ene parallelt med Lead Authority Side 19

20 5. Endelige BCR hva nå? Lead Authority går god for BCR-ene MRP-landene retter seg etter dette Men: det kreves likevel at konsernet sender formelle søknader til flere av personvernmyndighetene i EU (ca 75%) Dette er en formalitet som skyldes rettslige teknikaliteter Skal ikke forsinke prosessen i nevneverdig grad Side 20

21 Godkjente BCR hittil: GE ICO (UK) Atmel ICO (UK) Accenture ICO (UK) BP ICO (UK) e-bay Luxemburg Hyatt ICO (UK) Sanofi Aventis CNIL (FR) Michelin CNIL (FR) JPMC ICO (UK) Safran CNIL (FR) Spencer Stuart ICO (UK) Care Fusion ICO (UK) Hewlett Packard CNIL (FR) International SOS CNIL (FR) Bristol Myers Squibb CNIL (FR) Side 21

22 Datatilsynet er p.t. Lead Authority for to søknader Spørsmål om BCR kan gjerne rettes til Side 22