Seminar i regi av Den norske dataforening Advokatene Eva Jarbekk og Øyvind E. Ransedokken. 21. juni 2016

Like dokumenter
Sikkerhet og risikohåndtering i skyen. - juridisk vinkling

Ny personvernforordning Konsekvenser. Tommy Tranvik

I denne personvernerklæringen beskriver vi vår behandling av opplysninger om våre søkere og våre medarbeidere.

Informasjon om behandling av personopplysninger om frivillige i Kirkens Bymisjon

Sekretariatet har utviklet et opplæringsprogram alle tillitsvalgte plikter å gjennomføre (link til tillitsvervet).

PERSONVERN. DIN INFORMASJON. DIN TRYGGHET

Personvern - sjekkliste for databehandleravtale

Revisjoner av skytjenester under GDPR

Personvern i skyen

Yrkeskvalifikasjonsdirektivet 2005/36/EF med endringer 2013/55/EU. Linda Jamtvedt Børresen, seniorrådgiver NOKUT

Personvernregelverkets krav til skytjenester. Personvernregelverket. Krav og prinsipper

Norsk Bridgeforbund personvernpolicy

Høringsuttalelse til høring NOU 2017: 14- gjennomføring av markedsmisbruksforordningen sanksjoner og straff

Sporveien AS standardvilkår for Databehandleravtaler Versjon Vedlegg 1 til Databehandleravtale mellom Sporveien AS og Databehandler

Bak skyen: Behandling av personopplysninger. Tommy Tranvik, Senter for rettsinformatikk NOIKOS,

Personvern nytt landskap i #Oppdatert Tromsø 14. september 2017 Senioradvokat Simen Evensen Breen

GDPR Nye personvernregler i 2018

Håndbok i autorisasjon og autorisasjonssamtale

Tolkning og anvendelse personvernforordningen mellom uavhengighet og harmonisering. Dana Jaedicke juridisk seniorrådgiver

Personvernsreglene. Bruk og beskyttelse av personopplysninger. Vår Policy om Personvern

Retningslinjer for søknad om og tildeling av klinisk korttidsstipend 2014

GDPR - PERSONVERN. Advokat Sunniva Berntsen

Det er fire faser i saksbehandling i Kontaktpunkt i tråd med OECDs retningslinjer og Kontaktpunktets saksbehandlingsregler ( Retningslinjene ).

Arkivsystemer med skyløsninger

Informasjonskapsler på våre nettsider

Retningslinjer for databehandleravtaler

Personopplysninger i leieforhold - illustrert ved eksemplet elektronisk adgangskontroll

Personvern-rett H2016

Databehandleravtale. Båttjenester Indre Oslofjord Kapittel 9. Versjon Båttjenester Indre Oslofjord 2021

9A - ELEVENES ARBEIDSMILJØLOV

Vedlegg 3 til Kontrakt om Resttransport Romerike, Asker og Bærum og timesinnleide biler Nedre Romerike Databehandleravtale

Vedlegg 8 Databehandleravtalen. Bussanbud Stor-Trondheim

Innkalling til møte 1. juni Forberedelse og prosess ved etablering av ny Database for statistikk om fagskoleutdanning

VEDLEGG TIL HOVEDAVTALE DATABEHANDLERAVTALE

Ny EU-forordning: informasjonssikkerhet. Tommy Tranvik

Nye personvernregler og forskning: reaksjoner og mulige konsekvenser. Tommy Tranvik

Vedlegg 14 Behandleravtalen. Bussanbud Stor-Trondheim

KiNS seminar for fylkeskommunene Databehandleravtaler. Datatilsynet ved seniorrådgiver Ragnhild Castberg

Saksgang: Hedemarken tingrett THEDM Eidsivating lagmannsrett LE ( ASD ELAG/ ASK-ELAG/).

Venstres innspill til politiske samtaler om asylfeltet

Deres referanse Vår referanse Dato 15/ /JSK

Unntatt offentlighet jfr forvaltningsloven 13

Norsk forening for farlig avfall

Unntatt offentlighet jfr forvaltningsloven 13

ENDELIG TILSYNSRAPPORT

Databehandleravtale I henhold til ny personvernlov, jf. personvernforordningen art. 28 nr. 3, inngås databehandleravtale mellom Kunden

RUTINE 1 INFORMASJONSSIKKERHET I APOTEK

Bilag til SSA-T/SSA-V/SSA-D. Bilag 4. Prosjekt- og fremdriftsplan. Anskaffelse av analyse- og informasjonsplattform /345746

NOKUTs erfaringer med falske dokumenter. Linda Jamtvedt Børresen, juridisk rådgiver NOKUT

Smarte bygg og personvern

Regional planlegging og nytten av et godt planprogram. Linda Duffy, Østfold fylkeskommune Nasjonal vannmiljøkonferanse, 27.

8. Regnskapsrollen og behandling av faktura

Cloud computing en veileder i bruk av nettskytjenester. En vurdering av nettskytjenester opp mot kravene i personopplysningsloven 1.

Subway Group Personvernerklæring for franchisetaker og utviklingsagent (Development Agent («DA»))

Endelig TILSYNSRAPPORT

Konkurransegrunnlag Bistand til kartlegging og analyse av arbeidsprosesser samt utvikling av funksjonell prototyp

Veiledning Risikoanalyse for Digital postkasse til innbyggere. Versjon 1.0

Go to use the code /10/2016. En liten undersøkelse: Mobil/ nettbrett. INF1000/ INF1001: IT og samfunn.

k o n f i d e n s i e l t (sett kryss) Sted: Dato: Praksislærers underskrift: Rektors underskrift:

RUTINE 1 INFORMASJONSSIKKERHET I APOTEK

LÆRINGS- og GJENNOMFØRINGSPLAN

45 min om GDPR. Advokat Eva Jarbekk

Ny EU-forordning: informasjonssikkerhet. Tommy Tranvik

Roller og ansvar. Hva er behandlingsansvarlig og hva er en databehandler? Thea Rølsåsen, faglig prosjektleder

Innføring i NOKUTs godkjenningsordninger. Tina Rønning Lund, NOKUT

Saksprotokoll i Råd for mennesker med nedsatt funksjonsevne Behandling:

TILLITSVALGTE: Intervjuguide

Hvordan lage forespørsler for cloud-baserte tjenester og utarbeidelse av avtaler Advokat Herman Valen

Studieplan Videreutdanning i tverrfaglig akutt slagbehandling og rehabilitering av hjerneslagrammede

Studieplan. Vår Videreutdanning i tverrfaglig akutt slagbehandling og rehabilitering av hjerneslagrammede

GDPR Hva er det og hva er nytt? Presentasjon fra GDPR-prosjektet hos Direktoratet for e-helse

Hovedbudskap. Adresse Idrettens hus Ullevål stadion 0840 Oslo. Særforbundskoordinator Terje Jørgensen

Vår dato: Vår referanse: Arkivnr: Vår referanse må oppgis ved alle henvendelser

Telefoner er gått til kommunens sentralbord. Her har innringer fått svar på sine spørsmål.

Parkeringstillatelse for forflytningshemmede - søknad

Nye regler nye muligheter skytjenester i kjølvannet av Narvik og Moss. Bjørn Erik Thon

Mandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011

PERSONVERNERKLÆRING OG BRUKSVILKÅR FOR KJØKØYSUND MARINA AS SINE DIGITALE KANALER

Kravspesifikasjon Leie av lokaler for ikt backup-løsning

PLAN FOR FORVALTNINGSREVISJON Skaun kommmune. Vedtatt i sak 23/15

Tema. Arbeidsmarkedskriminalitet Hva kan du gjøre før det er for sent? May Martinsen

DATABEHANDLERAVTALE. Behandlingsansvarlig og Databehandler er i fellesskap benevnt "Partene" og alene "Parten".

Databehandleravtaler

Data be handleravtale. mellom. NNN ko m m u n e avd Oppvekst. 9sr Se%5»o. («Behandlingsansvarlig») IMAL Norge AS. Org.nr.

Databehandleravtale for NLF-medlemmer

Sikkerhets- og samhandlingsarkitektur ved intern samhandling

Forebygging og håndtering av vold og trusler mot ansatte

Varslingsrutiner for tillitsvalgte Samfunnsviterne

Friskolenes Kontaktforum(FK)

Årsrapport BOLYST

Min bakgrunn: Jurist i 1994 og «IT-advokat» fra 1997 Personvernspørsmål har stadig blitt viktigere i den tiden...

Foreløpig sammendrag av rapport. Norge og EØS: - Eksportmønstere og alternative tilknytningsformer. Menon-publikasjon nr 17/2013. Av Leo A.

Er du trygg i nettskyen 31. Mai 2011 Advokat Herman Valen

Dataforeningens vedlikeholdskontrakt for programvare. Veiledning for kontraktsutarbeidelse

Markedsdialog Hvilke utfordringer og muligheter ser den offentlige aktør? Stian Jenssen, Innkjøpsrådgiver Østfold fylkeskommune

Plus500CY Ltd. Erklæring om personvern og cookie regler

Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket.

Personvernerklæring om behandling av personopplysninger Felleskatalogen AS

Trender og utvikling i logistikkbetydning

Avtale om behandling av personopplysninger (databehandleravtale) i forbindelse med <navn på tjeneste> (heretter omtalt som «avtalen»)

Transkript:

Seminar i regi av Den nrske datafrening Advkatene Eva Jarbekk g Øyvind E. Ransedkken 21. juni 2016

Hvr er vi i landskapet? Persnvern i skyen Bruk av skytjenester reiser nen særlige prblemstillinger knyttet til persnvern USA g amerikanske skyleverandører spiller en viktig rlle 2

Rettslige utgangspunkter i skyen sm ellers All bruk av skytjenester invlverer i praksis behandling av persnpplysninger «Persnpplysninger»: «Opplysninger g vurderinger sm kan knyttes til en enkeltpersn» Betydningen av kryptering Med «enkeltpersn» menes: en persn sm direkte eller indirekte kan identifiseres f.eks. ved hjelp av navn, identifikasjnsnummer eller andre kjennetegn sm bilde, persnens stemme, fingeravtrykk eller genetiske kjennetegn «Behandling» av persnpplysninger: enhver bruk av persnpplysninger, sm f.eks. innsamling, registrering, sammenstilling, lagring g utlevering eller en kmbinasjn av slike bruksmåter Cpyright 2016 Føyen Trkildsen All Rights Reserved 3

Rllene i skyen Kunden er sm ftest «behandlingsansvarlig»: den sm bestemmer frmålet med behandlingen av persnpplysninger g hvilke hjelpemidler sm skal brukes er den sm har det direkte ansvaret fr verhldelse av persnvernlvgivningen Leverandøren er sm ftest «databehandler»: den sm behandler persnpplysninger på vegne av den behandlingsansvarlige Hvem bestemmer frmålet med databehandlingen? Hvr er data lagret? Hvilke lkasjner kan data aksesseres fra? Er verføring av persnpplysninger i verensstemmelse med persnvernlvgivningen? Cpyright 2016 Føyen Trkildsen All Rights Reserved

Persnpplysninger Rller i behandlingen Persnpplysninger EØS-grense Persnpplysningslven Databehandler Databehandler Behandlingsansvarlig Underdatabehandler Underdatabehandler Cpyright 2016 Føyen Trkildsen All Rights Reserved 5

Persnpplysningslven - den nrske lvens virkemråde 4 Gegrafisk virkemråde Lven gjelder når den behandlingsansvarlige (kunden) er etablert i Nrge Lven gjelder når den behandlingsansvarlige (kunden) er etablert i stater utenfr EØS-mrådet dersm den behandlingsansvarlige benytter hjelpemidler i Nrge Ren verføring via Nrge faller utenfr Egne regler m verføring fra Nrge til utlandet Innenfr EU/EØS Utenfr EU/EØS Cpyright 2016 Føyen Trkildsen All Rights Reserved 6

Databehandleravtalen Grunnkrav når en databehandler (skyleverandøren) behandler persnpplysninger på vegne av en behandlingsansvarlig (kunden) Pl. 15: Databehandlerens rådighet ver persnpplysninger: Bare behandle persnpplysninger på den måte sm er skriftlig avtalt med den behandlingsansvarlige. Bruk av underleverandør må avtales g krever tilsvarende «underdatabehandleravtale» Avtalen må angi plikt til å gjennmføre bestemte sikringstiltak sm følger av 13 (knfidensialitet, integritet g tilgjengelighet) Så langt er alt greit Cpyright 2016 Føyen Trkildsen All Rights Reserved 7

Overføring til utlandet - utgangspunkter Hva regnes sm «verføring»? Flytte data til server utenfr Nrge Tilgang til data i Nrge fr persnell lkalisert utenfr Nrge Grunnkravene i lven gjelder uansett Overføring kan kun skje dersm alle øvrige krav er ppfylt Regler m verføring til utlandet kmmer i tillegg Persnpplysningslven 29 g 30 Persnpplysningsfrskriften kapittel 6 Cpyright 2016 Føyen Trkildsen All Rights Reserved 8

Grunnregler fr verføring til utlandet Hvedregel (pl. 29): Hvis lvens generelle krav til behandling er ppfylt, kan persnpplysninger verføres til land sm sikrer en «frsvarlig behandling av pplysningene» Land innen EU/EØS-mrådet Land sm har ppnådd adequate level f data prtectin gdkjent av EU-kmmisjnen Inntil ktber 2015: Enkeltbedrifter i USA sm har sluttet seg til «Safe Harbr principles» I så fall ikke selvstendig knsesjns- eller meldeplikt Cpyright 2016 Føyen Trkildsen All Rights Reserved 9

Grunnregler fr verføring til utlandet (frts.) Unntak (pl. 30 første ledd): Ved verføring til andre land kan verføring skje på gitte vilkår : F.eks. basert på samtykke fra datasubjektet, plikt etter flkerettslig avtale, nødvendig fr å ppfylle avtale med datasubjektet, gjøre gjeldende et rettskrav mv. Et gyldig samtykke må være avgitt frivillig g kan på ethvert tidspunkt trekkes tilbake Samtykke vil derfr fte være lite egnet sm grunnlag fr verføring til utlandet Cpyright 2016 Føyen Trkildsen All Rights Reserved 10

Grunnregler fr verføring til utlandet (frts.) Unntak (pl. 30 annet ledd): Overføring etter frhåndsgdkjenning fra Datatilsynet Når behandlingsansvarlig gir tilstrekkelige garantier fr vern av den registrertes rettigheter Avtale mellm avsender g mttaker Kun varslingsplikt ved bruk av EUs mdellavtaler Innen knsern: Opprettelse av bindende knsernregler (Binding Crprate Rules BCR) Cpyright 2016 Føyen Trkildsen All Rights Reserved 11

Overføring til tredjeland tilgang fra tredjeland sm USA Lagres data på server utenfr EU/EØS? Har leverandørens persnell tilgang til data i EU/EØS fra lkasjn utenfr EU/EØS? Hvis ja; hva da?

Safe Harbr-rdningen sm grunnlag fr verføring av persnpplysninger fra EU/EØS til USA Avtale mellm EU g USA fra 2009 Oppstiller regler fr amerikanske bedrifters bruk g sikring av persnpplysninger m eurpeiske brgere sm skal tilfredsstille krav tilsvarende eurpeisk persnvernlvgivning Hvedgrunnlaget fr eurpeiske bedrifters verføring av data til USA de seneste årene Cpyright 2016 Føyen Trkildsen All Rights Reserved 13

Grunnlag fr verføring ut av EØS før Schrems-avgjørelsen Safe Harbr Bindende selskapsregler (PBCR/BCR) Samtykke g øvrige unntak I POL 30 første ledd Mdellavtaler/SCC infrmatin duty - sens. data Cpyright 2016 Føyen Trkildsen All Rights Reserved 14

15

Hva er vi redde fr ved USA? NSA? Andre myndigheters vervåkning? Tyveri av frretningshemmeligheter Reell sikkerhet hs bedriftene sm sier de er «trygge»? Manglende persnvernlvgivning sm danner en trygg ramme Individets mulighet til å frsvare seg rettslig Erstatningskravenes størrelse Avhengig av hvem man representerer eller hvem ens kunder er: Å ikke være cmpliant.. Særlig med de nye reglene fra EU (bøtenivå mv.) Cpyright 2016 Føyen Trkildsen All Rights Reserved 16

Prblemet med USA aktualisert ved avgjørelse i amerikansk dmstl 25.04.14 FBI vs. Micrsft Om e-pstknt på Micrsfts servere i Irland Micrsft dømt til å utlevere kunders epst g annet digitalt innhld etter rettslig kjennelse fra amerikansk dmstl Selv m infrmasjnen er lagret på tjenesteleverandørens servere i utlandet Første rettsavgjørelse i sitt slag? Ekstraterritriell virkning av USAs rettsavgjørelser? Saken pågår i frtsatt rettsvesenet i USA Paradkset: Micrsft får straff i Eurpa hvis utlevering skje Micrsft får straff i USA hvis utlevering ikke skjer Cpyright 2016 Føyen Trkildsen All Rights Reserved 17

Artikkel 43 A i ny frrdning «FBI-paragrafen» En dm eller administrativ avgjørelse fretatt av dmstl eller myndighet i tredjeland, sm krever at en behandlingsansvarlig eller en databehandler (innenfr EØS) skal verføre persnpplysninger skal kun anerkjennes hvis den er basert på en internasjnal avtale, sm f. eks mutual legal assistance avtaler, sm er gyldige mellm vedkmmende tredjeland g EU eller et medlemsland (hvis det ikke finnes andre grunnlag fr verføringen) Cpyright 2016 Føyen Trkildsen All Rights Reserved 18

Max Schrems-avgjørelsen i EU-dmstlen 6. kt. 2015 Safe Harbr-dmmen EU-dmstlen kjente hele Safe Harbr-avtalen ugyldig EU-kmmisjnen hadde ikke i tilstrekkelig grad vurdert hvrvidt USA sikrer essentially equivalent persnvern sm etter regelverket i EU Avgjørende: USAs massevervåkning gir ikke tilstrekkelig vern fr EU-brgeres persnpplysninger Nasjnale datatilsyn må i knkrete saker vurdere beskyttelsesnivået i tredjeland, uavhengig av fellesbestemmelser sm Safe Harbr Amerikanske sikkerhetsmyndigheter har fr vide fullmakter EU-brgere har ingen reell mulighet til verprøving Cpyright 2016 Føyen Trkildsen All Rights Reserved 19

Histrien etter Schrems-avgjørelsen «Amnesti»-peride frem til utgangen av januar 2016 I påvente av at Artikkel 29-gruppen skulle møtes i begynnelsen av februar 2016 2. februar 2016: EU-kmmisjnen g USA enige m et nytt «framewrk» fr verføring av data fra EU/EØS til USA kalt «EU-US Privacy Shield». Strng bligatins fr cmpanies handling f EU citizens data Clear safeguards and transparency bligatins fr U.S. gvernment agency access New redress and cmplaint reslutin mechanisms fr EU citizens 29. februar 2016: EU-kmmisjnen presenterte «legal text» til det nye Privacy Shield Nærmere utpensling av prinsippene venfr Cpyright 2016 Føyen Trkildsen All Rights Reserved 20

Nærmere m utkastet til Privacy Shield Strnger bligatins t prtect persnal data f Eurpean citizens Imprters will have t cmmit t rbust bligatins n prcessing, guaranteeing rights fr the individual The US Department f Cmmerce will mnitr that the cmmitments are public The US Federal Trade Cmmissin will enfrce the cmmitments Imprters handling human resurces data will als need t cmply with decisins f Eurpean data prtectin authrities Cpyright 2016 Føyen Trkildsen All Rights Reserved 21

Nærmere m utkastet til Privacy Shield (frts.) Several redress ptins fr EU citizens Filing a cmplaint directly with the imprter Alternative dispute reslutin put in place by the imprter which must be free f charge Filing a cmplaint with the relevant Eurpean DPA, that may frward cmplaints t the US Department f Cmmerce r the Federal Trade Cmmissin With respect t natinal security access, the US will establish a functinally independent US Ombudspersn t address cmplaints f pssible access by natinal intelligence authrities With what pwers? Cpyright 2016 Føyen Trkildsen All Rights Reserved 22

Oppfatninger m Privacy Shield 23

Oppfatninger m Privacy Shield (frts.) 24

Oppfatninger m Privacy Shield (frts.) 25

Histrien etter Schrems-avgjørelsen (frts.) 13. april 2016: Artikkel 29-gruppen underkjente utkastet til Privacy Shield g sendte det tilbake til EU-kmmisjnen fr frbedringer. Påpekte særlig: frtsatt muligheter fr massevervåkning fra amerikanske myndigheter mbudsmannsrdningen sm er freslått er fr svak Ingen sletteplikt fr dataene når det ikke lenger er et reelt behv fr dem Vil ikke bli vedtatt uten Artikkel 29-gruppens velsignelse 26. mai 2016: EU-parlamentet ga en kritisk uttalelse m Privacy Shield g anbefalte en refrhandling av avtaleutkastet med USA, med innspillene fra Artikkel 29- gruppen 30. mai 2016: Eurpean Data Prtectin Supervisr (EUs eget datatilsyn) knkluderte, på samme måte sm Artikkel 29-gruppen, med at Privacy Shield ikke var gdt nk Cpyright 2016 Føyen Trkildsen All Rights Reserved 26

Histrien etter Schrems-avgjørelsen (frts.) Siste status: Artikkel 29-gruppen møttes igjen i går, 20. juni, fr en ny runde på utkastet til Privacy Shield Må bestemme seg fr m de vil anbefale å gå videre med nye frhandlinger eller frkaste utkastet i sin helhet Mest sannsynlig nye frhandlinger mellm EU g USA m justeringer til eksisterende utkast Det stre spørsmålet: Hva blir utfallet? Cpyright 2016 Føyen Trkildsen All Rights Reserved 27

Videre skjebne fr Privacy Shield Omstridt innhld Hvis vedtatt usikker videre skjebne Vil det stå seg rettslig m prøvd i EU-dmstlen? (ca. 2 år) m prøvd i Menneskerettighetsdmstlen? (ca. 4 år?) Cpyright 2016 Føyen Trkildsen All Rights Reserved 28

Hva betyr Safe Harbrs død fr deg? Sm kunde / innkjøper av clud-tjenester? Sm leverandør / tilbyder av clud-tjenester? Sm (privat) bruker av clud-tjenester? Cpyright 2016 Føyen Trkildsen All Rights Reserved 29

Hvrfr bør nrske kunder være pptatt av dette? Mange grunner, f.eks.: Den nye frrdningen: Each supervisry authrity may impse administrative fines up t 20 000 000 EUR, r in case f an undertaking, up t 4% f the ttal wrldwide annual turnver f the preceding financial year, whichever is higher, fr infringements. the basic principles fr prcessing, including cnditins fr cnsent, the data subjects rights the transfers f persnal data t a recipient in a third cuntry r an internatinal rganisatin Cpyright 2016 Føyen Trkildsen All Rights Reserved 30

31

Cpyright 2016 Føyen Trkildsen All Rights Reserved 32

Er det egentlig så ille? Rettslige knsekvenser av Safe Harbr-dmmen: Status siden februar 2016: Safe Harbr er dødt sm grunnlag fr verføring av persnpplysninger til USA Betyr f.eks. at alle sm har avtalevilkår sm sier at verføring av persnpplysninger til USA er greit så lenge den amerikanske bedriften er Safe Harbr-sertifisert, snarest bør ppdatere sine avtaler Men ppdatere til hva? Det mest praktiske alternativet inntil et nytt Privacy Shield er på plass: EUs «Mdel Clauses» Paradks: Adresserer egentlig «Mdel Clauses» de reelle utfrdringene sm lå til grunn fr ugyldiggjøringen av Safe Harbr-rdningen? Eller kun et annet frmelt grunnlag med de samme reelle utfrdringer sm før? Mdellavtalene er nå angrepet rettslig i Irland Vil de lide samme skjebne sm Safe Harbr? Cpyright 2016 Føyen Trkildsen All Rights Reserved 33

Nærmere m EUs mdellavtaler Tre utgaver av mdellavtalene Avtaler mellm behandlingsansvarlig g databehandler der mdellavtalen brukes ufrandret må meldes g versendes Datatilsynet før verføringen starter Avtalene med vedlegg må fylles ut g inngås før verføring finner sted Hva slags persnpplysninger er det snakk m? Hvr stre mengder pplysninger skal verføres? Hvrdan skal de behandles Med hvilke tiltak skal pplysningene beskyttes? Alle andre avtaler krever gdkjenning fra Datatilsynet før verføring Infrmasjnsplikt verfr den registrerte når sensitive pplysninger verføres Cpyright 2016 Føyen Trkildsen All Rights Reserved 34

Rller g mdellavtaler Persnpplysninger EØS-grense Persnpplysningslven Databehandler Databehandler Behandlingsansvarlig Underdatabehandler Underdatabehandler Cpyright 2016 Føyen Trkildsen All Rights Reserved 35

EUs mdellavtaler status Vil bli utfrdret ved EU-dmstlen på samme måte sm Safe Harbr Sak i Irland mellm det irske datatilsynet g Schrems Oppsiktsvekkende at USA har tiltrådt saken på det irske datatilsynets side Ønsker å kunne frsvare seg selv g fremme sine argumenter når amerikanske myndigheters praksis g regelverk vil bli gjenstand fr prøve i en prinsipiell sak fr EU-dmstlen Cpyright 2016 Føyen Trkildsen All Rights Reserved 36

Alternatives after Max Schrems january 2016 Safe Harbr Bindende selskapsregler (PBCR/BCR) Samtykke g øvrige unntak i POL 30 første ledd Mdellavtaler Lagre hjemme - UTEN tilgang fra USA Cpyright 2016 Føyen Trkildsen All Rights Reserved 37

Reality after the Max Shrems verdict 38

Reality after the Max Shrems verdict 39

Særlig m Micrsft g Amazn Micrsft g Amazn legger til grunn at deres vilkår fr skytjenester er «gdkjent» Gjennmgått av artikkel 29-gruppen, sm har uttalt at deres standard databehandleravtale med bilag er i tråd med mdellavtalen Etter persnpplysningsfrskriften er det bare der den uendrede mdellavtalen er brukt at det er tilstrekkelig med varsling til Datatilsynet Micrsfts g Amazns vilkår må gjennmgås i hvert enkelt tilfelle fr å kntrllere at vilkårene faktisk samsvarer med mdellavtalen Der det ikke er samsvar må databehandleravtalene gdkjennes av Datatilsynet før verføring finner sted varsling er ikke tilstrekkelig Cpyright 2016 Føyen Trkildsen All Rights Reserved 40

Sjekkliste fr innkjøper / kunde av skyløsning Hvr er data lagret innenfr eller utenfr EU/EØS? Har clud-leverandøren tilgang til dataene fra lkasjn utenfr EU/EØS i så fall «verføring» i lvens frstand Må per i dag ha en mdellavtale fr verføring til USA Spør m tilbyderen har en mal med standardvedlegg Men OBS! Vedleggene må tilpasses den enkelte leveransen Ofte vil stre leverandører likevel ha nenlunde ferdigutfylte vedlegg sm passer fr den enkelte leveransen, frdi det dreier seg m standardiserte leveranser slik at de vet hvilke data sm behandles, fr hvilke frmål sv. Likevel kundens ansvar å sjekke g verifisere Cpyright 2016 Føyen Trkildsen All Rights Reserved 41

Sjekkliste fr tilbyder / leverandør av skyløsning Ikke hvedsubjekt etter lvgivningen, men får større direkteansvar fr cmpliance etter den nye frrdningen. Innsynskrav fra de registrerte mv. Bør derfr: Være frberedt på å kunne svare på spørsmål m hvr data er lagret g m tilgang skjer fra lkasjn utenfr EU/EØS Vurdere å kunne tilby en mdellavtale med utkast til ferdigutfylte standardvedlegg Viktig! Sjekke at man faktisk kan ppfylle mdellavtalens krav Vurdere m det kan være knkurransemessige frdeler ved å freta all databehandling fra lkasjn innenfr EU/EØS g hindre all tilgang fra utenfr EU/EØS Da er det tilstrekkelig med en «vanlig databehandleravtale» etter nrsk standard Cpyright 2016 Føyen Trkildsen All Rights Reserved 42

Sjekkliste fr (privat) bruker av skyløsning Hvr er mine data lagret? Hvem har tilgang? Hvilken sikkerhet har jeg fr tilgang til mine data? I avtaleperiden? Ved avtalens pphør? Hvem må jeg frhlde meg til? Hva skjer med dataene mine når avtalen pphører? Kan mer enn nen gang være greit å lese avtalevilkårene Hvis man er pptatt av eget persnvern Cpyright 2016 Føyen Trkildsen All Rights Reserved 43

Oppsummering dette må kunden ha på plass Hvilken avtale regulerer leverandørens databehandling? Hvilke typer data behandles? Oversikt ver i hvilke land data lagres Oversikt ver fra hvilke land servicepersnell kan aksessere data Er en mdellavtale påkrevd? Fr øvrig: Internkntrllsystem Beskrivelse av infrmasjnssystemet g dataene sm lagres der Sikkerhetsstrategi med definerte sikkerhetsmål Gjennmført risikvurdering Organisasjnskart ver ansvarsmråder fr infrmasjnssikkerhet g drift Cpyright 2016 Føyen Trkildsen All Rights Reserved 44

Eva Jarbekk Mbil: +47 90 05 10 11 E-pst: ej@fyentrkildsen.n Øyvind E. Ransedkken Mbil: +47 95 97 74 15 E-pst: er@fyentrkildsen.n

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding