Deres referanse Vår referanse Dato 15/ /JSK

Transkript

1 Se mottakerliste Deres referanse Vår referanse Dato 15/ /JSK Safe Harbor - Informasjon til berørte virksomheter om EU-domstolens avgjørelse om Safe Harbor-beslutningen - Konsekvensene av at Safe-Harborbeslutningen er ugyldig - EU-domstolens sak C-362/14 Innledning Juridiske og fysiske 1 personer som skal overføre personopplysninger fra Norge til land utenfor EØS-området, kan ikke gjøre dette uten videre, på grunn av det generelle forbudet mot slik overføring i personopplysningsloven 29. Personopplysningsloven og personopplysningsforskriften oppstiller imidlertid flere unntak fra denne hovedregelen. Ett av dem har vært overføring i medhold av EU-kommisjonens beslutninger etter artikkel 25 i direktiv 95/46/EF om beskyttelse av fysiske personer i forbindelse med behandling av personopplysninger mv (personverndirektivet), jf. personopplysningsforskriften 6-1 første ledd og EØS-avtalens vedlegg XI. En av de beslutningene som har gitt et slikt unntak fra dette forbudet, er kommisjonsbeslutning 2000/520/EF av 26. juli 2000 i henhold til europaparlaments- og rådsdirektiv 95/46/EF om tilstrekkeligheten av den beskyttelse som oppnås ved safe harbour-prinsippene og de tilknyttede spørsmål og svar fra De forente staters handelsdepartement. Beslutningen er fattet med hjemmel i artikkel 25(6) i direktiv 95/46/EF. I en avgjørelse av 6. oktober i år, kom EU-domstolen til at denne beslutningen er ugyldig, i sak C-362/14 om Max Schrems mot Den irske databeskyttelseskommisjonæren. Konsekvensene av EU-domstolens avgjørelse for fysiske og juridiske personer som overfører personopplysninger til USA basert på beslutning 2000/520/EF I vår meldingsdatabase 2 er det oppgitt at i overkant av ett hundre virksomheter, i egenskap av å være behandlingsansvarlige slik dette er definert i personopplysningsloven 2, overfører personopplysninger til USA på bakgrunn av Safe Harbour-prinsippene. 1 Fysiske personer som behandler personopplysninger for rent personlige eller andre private formål er ikke omfattet av lovens saklige virkeområde, se personopplysningsloven 3 andre ledd. 2 Postadresse: Kontoradresse: Telefon: Telefaks: Org.nr: Hjemmeside: Postboks 8177 Dep Tollbugt OSLO

2 Datatilsynet vil med dette orientere alle nevnte behandlingsansvarlige om følgende: 1. Personopplysninger kan ikke lenger overføres til USA i medhold av Safe Harbourprinsippene. Kommisjonsbeslutningen som Safe Harbour-ordningen hviler på er kjent ugyldig, og EU-domstolens avgjørelse får virkning også for norsk lovgivning, gjennom bestemmelsen i personopplysningsforskriften 6-1, som henviser til EUkommisjonsbeslutninger fattet i medhold av artikkel 25 i direktiv 95/46/EF. 2. Fysiske 3 og juridiske personer som overfører personopplysninger til USA må derfor enten a. stanse alle nåværende eller utsette alle planlagte persondataoverføringer uten ugrunnet opphold eller b. snarest forankre nåværende eller planlagte persondataoverføringer i et av de øvrige dataoverføringsgrunnlagene som personopplysningsloven med forskrift oppstiller Datatilsynets anbefalinger Datatilsynet har kunngjort sine anbefalinger til de berørte dataeksportører på Disse anbefalingene går ut på følgende: 1. Alle som vurderer å overføre personopplysninger til USA, må først vurdere om slik overføring er i samsvar med grunnkravene i personopplysningsloven 11 første ledd, som lyder: «Den behandlingsansvarlige skal sørge for at personopplysningene som behandles a) bare behandles når dette er tillatt etter 8 og 9, b) bare nyttes til uttrykkelig angitte formål som er saklig begrunnet i den behandlingsansvarliges virksomhet, c) ikke brukes senere til formål som er uforenlig med det opprinnelige formålet med innsamlingen, uten at den registrerte samtykker, d) er tilstrekkelige og relevante for formålet med behandlingen, og e) er korrekte og oppdatert, og ikke lagres lenger enn det som er nødvendig ut fra formålet med behandlingen, jf. 27 og 28.» 2. Deretter må de behandlingsansvarlige gjennomføre en risikovurdering, i samsvar med kravene i personopplysningsforskriften 2-4. I den forbindelse kan det ha avgjørende 3 Se reservasjonen i note 1. 2

3 betydning om personopplysningene som planlegges overført er sensitive eller konfidensielle. 3. Hvis grunnkravene er oppfylt, og resultatet av risikovurderingen ikke er til hinder for det, kan en overføring av personopplysninger baseres på unntakene i 30 første og andre ledd. 4. Vi understreker imidlertid at unntaksbestemmelsene i 30 første ledd ikke anses for å gi tilstrekkelig overføringsgrunnlag annet enn i meget begrensede tilfeller. Dette er i samsvar med de anbefalinger som er gitt av Artikkel 29-arbeidsgruppen i EU. 4 Vær oppmerksom på at overføringer i medhold av unntaksbestemmelsene skjer på avsenders risiko, og at personopplysninger som overføres i medhold av unntaksbestemmelsene ikke nyter godt av noen annen rettslig beskyttelse enn det som måtte følge av mottakerlandets rettsregler. Datatilsynet fraråder i praksis overføring av personopplysninger på bakgrunn av den enkeltes samtykke i de aller fleste tilfeller. 5. Datatilsynet anbefaler å basere eksisterende og fremtidige dataoverføringer på unntaket i personopplysningsloven 30 andre ledd. Bestemmelsen slår fast at Datatilsynet kan tillate overføring når det ikke finnes andre anvendelige overføringsgrunnlag. Vilkåret er at den behandlingsansvarlige som planlegger å overføre personopplysninger gir tilstrekkelige garantier for vern av den registrertes rettigheter under og etter overføringen. Slike garantier kan den behandlingsansvarlige enklest gi ved å inngå EU-kommisjonens standardkontrakt for overføring av personopplysninger til utlandet med dataimportøren i USA. 6. Det finnes tre ulike kontrakter for dette formålet: a. to kontrakter for overføring av personopplysninger fra en behandlingsansvarlig (avsender) til en annen behandlingsansvarlig (mottaker); 5 b. og én kontrakt for overføring fra behandlingsansvarlig (avsender) til databehandler (mottaker). 7. I tilfeller som nevnt i punkt (a) over, må den behandlingsansvarlige søke om Datatilsynets forhåndstillatelse før overføringen kan finne sted, jf. personopplysningsloven 30 andre ledd. 8. I tilfeller som nevnt i punkt (b) over, er det ikke nødvendig å søke om Datatilsynets tillatelse før overføring, på grunn av unntaksbestemmelsen i personopplysningsforskriften 4 Se mer om denne gruppen på og se gruppens arbeidsdokument om en ensartet fortolkning av artikkel 26(1) i direktiv 95/46/EF av 24. oktober 1995, tilgjengelig fra arbeidsgruppens nettsted, se henvisningen foran. 5 Standardkontraktene er gitt i hhv. kommisjonsbeslutning 2004/915/EF av 27. desember 2004 og kommisjonsbeslutning 2001/497/EF av 15. juni

4 6-3. Dette gjelder utelukkende dersom dataimportøren er å regne som den behandlingsansvarliges databehandler (jf. personopplysningsloven 2 nr. 5), og grunnlaget for dataoverføringen er EUs standardkontrakt som nevnt over i punkt 6(b). I disse tilfellene eksisterer det imidlertid en varslingsplikt. Denne plikten oppfylles ved å sende en kopi av utfylt og signert standardkontrakt til Datatilsynet. Overføringen kan finnes sted når varselet er sendt. 9. De nevnte standardkontraktene er tilgjengelige fra Datatilsynet nettsted, vennligst se Vennligst oppgi følgende informasjon ved søknad om forhåndstillatelse eller varsel etter personopplysningsforskriften 6-3: Hvilken standardkontrakt som er brukt Om det er gjort endringer i standardklausulene, og i så fall hvilke (uthev endringene i avtaleutkastet) Dataeksportøren(e)s navn og organisasjonsnummer Dataimportøren(e)s navn, fullstendige virksomhetsadresse og rolle (databehandler eller behandlingsansvarlig) Om det er aktuelt å overføre sensitive personopplysninger, og i så fall hvilke kategorier (jf. personopplysningsloven 2 nr. 8) Den øvrige informasjonen som skal oppgis i anneksene til standardkontraktene (fylles inn i selve avtaleutkastet) Avsluttende kommentarer EU-kommisjonen og amerikanske myndigheter har i lengre tid arbeidet for å få reforhandlet en transatlantisk avtale om overføring av persondata. Artikkel 29-arbeidsgruppen har uttalt at en slik avtale bør være klar innen 31. januar I motsatt fall kan det bli aktuelt å iverksette ytterligere tiltak for å begrense persondataoverføringer fra Europa til USA, ifølge arbeidsgruppen. 6 Vi anbefaler at behandlingsansvarlige som overfører data til USA på bakgrunn av Safe Harbour-prinsippene, følger med på utviklingen i reforhandlingene. Datatilsynets nettsider vil bli løpende oppdatert om saken. Datatilsynet vil til slutt nok en gang understreke viktigheten av at de behandlingsansvarlige vurderer personopplysningslovens grunnkrav og overføringsrisikoen nøye, jf. punktene 1 og 2 ovenfor, før en hver dataoverføring. 6 Se arbeidsgruppens meddelelse på ec.europa.eu/justice/data-protection/article-29/press-material/pressrelease/art29_press_material/2015/ _wp29_statement_on_schrems_judgement.pdf 4

5 Med vennlig hilsen Kim Ellertsen avdelingsdirektør Jørgen Skorstad seniorrådgiver 5