Offshoring, skytjenester og Binding Corporate Rules - foredrag for Dataforeningen, 1. desember 2011 Bjørn Erik Thon Jørgen Skorstad
Dagens tema Kort om Datatilsynet Kort om den internasjonale utviklingen og Datatilsynets engasjement Nettskyen Overføring av personopplysninger til utlandet Binding Corporate Rules ( BCR )
Datatilsynet Håndhever personopplysningsloven, helseregisterloven og helseforsknings-loven Saksbehandling Tilsyn/kontroll Veiledning/informasjon Ombud 40 medarbeidere ( jurister, teknologer, samfunnsvitere, informasjonsfolk, administrativt personale)
Den internasjonale utvikling Globalisering Multinasjonale selskaper Internasjonalt arbeidsmarked Personopplysninger som handelsvare Behov for internasjonale mekanismer (Binding Corporate Rules) Nytt personverndirektiv i støpeskjeen
Nettskyen - Stor aktivitet både i offentlig og privat sektor - Datatilsynet har utarbeidet en veileder om bruk av nettskyen - IKT Norges initiativ - veileder - Berlin-gruppen - Odense kommune - Narvik kommune 01.12.2011 Side 5
Nettskyen..stikker kjepper i hjulene. Behandlingsansvarliges forpliktelser hva er det? Hvor mye må vi stole på andre uten å ha kontroll selv? Forholdet til store globale leverandører. Det vi har bedt om er at kommunen redegjør for sin forpliktelse etter personopplysingsloven. 01.12.2011 Side 6
Nettskyen - Narvik kommune en prøvesak - Hvilke personopplysninger behandles i Google Apps - Den risikovurdering kommunen har fortatt - Segmentering av data - Kopi av avtalen + ev databehandleravtale - Hvem har tilgang hos Google? - sett i lys av bl.a. sikkerhetsforskriftens krav til risikovurdering og sikkerhetsrevisjon - Møte med Google 01.12.2011 Side 7 - Svar fra Narvik kommune
01.12.2011 Side 8
BINDING CORPORATE RULES (BCR) 01.12.2011 Side 9
Hva er Binding Corporate Rules? betegnelsen på et sett regler om overføring og behandling av personopplysninger som gjelder internt i konsern med enheter i mange land 01.12.2011 Side 10
Formålet: BCR kan brukes til å oppfylle kravene i direktiv 95/46/EF artikkel 26 (2) som svarer til personopplysningsloven 30 andre ledd Stiller vilkår for overføring av personopplysninger til tredjeland Vilkåret er at den behandlingsansvarlige garanterer for vern av den registrertes rettigheter 01.12.2011 Side 11
Hva skal en BCR inneholde? Personvernprinsipper Gjennomsiktighet Datakvalitet Informasjonssikkerhet Verktøy som sikrer at BCR-ene får effekt i praksis Internkontroll Opplæring Klagebehandlingssystem Element som viser at BCR-ene er bindende Unilaterale erklæringer Bilaterale avtaler mellom selskapene 01.12.2011 Side 12
Hva er fordelene? Fri flyt av personopplysninger innad i konsernet, også til tredjeland Ensartet praksis i hele konsernet Redusert (personvern)risiko etter overføring til tredjeland Ikke nødvendig å kontraktsregulere hver enkelt overføring Ekstern kommunisering av konsernets policy Interne retningslinjer for ansattes håndtering av persondata 01.12.2011 Side 13
For hvem kan BCR være egnet? Selskaper som eksporterer store mengder persondata fra EU/EØS til andre selskaper i samme konsern, i land utenfor EU/EØS Hvem bør ikke satse på BCR? Mindre selskaper som eksporterer data i enkeltstående tilfeller, eller som ikke eksporterer data utenfor EU/EØS 01.12.2011 Side 14
Godkjennelsesprosedyren: BCR-ene skal alltid godkjennes av nasjonale personvernmyndigheter Dette fremgår av: Artikkel 26 (2) i direktiv 95/46/EF Personopplysningsloven 30 andre ledd 01.12.2011 Side 15
1. Utpeke Lead Authority Utgangspunktet: Personvernmyndigheten der hvor konsernets europeiske hovedkvarter er plassert Eventuelt: Personvernmyndigheten der hvor selskapet med delegert behandlingsansvar er plassert Personvernmyndigheten der de fleste beslutninger om behandlingsformål og hjelpemidler tas Personvernmyndigheten i det medlemslandet som eksporterer mest personopplysninger til tredjeland 01.12.2011 Side 16
2. Samarbeid mellom Datatilsynet og søker Forberedende dialog og veiledning Selskapet må selv utforme utkast til BCR må fylle ut og sende standardsøknad (WP 133) og BCR-utkast Datatilsynet går gjennom utkastet og søknaden gir tilbakemeldinger Selskapet Sender endelig søknad (med endringer etter tilsynets tilbakemeldinger) 01.12.2011 Side 17
3. Mutual Recognition Procedure (MRP) Bakgrunn: to år å behandle én søknad Samarbeid mellom personvernmyndighetene i Europa Lead Authority tar seg av grovarbeidet (drahjelp av to andre DPA) De andre myndighetene i ordningen aksepterer vurderingen gjort av Lead Authority Raskere godkjenning 01.12.2011 Side 18
4. Strafferunde Noen EU-land står utenfor Mutual Recognition Procedure Disse landene for eksempel Sverige deltar ikke pga. nasjonale begrensninger i adgangen til å delegere godkjenning etter personverndirektivet artikkel 26 (2) Personvernmyndighetene i disse landene skal derfor godkjenne BCR-ene parallelt med Lead Authority 01.12.2011 Side 19
5. Endelige BCR hva nå? Lead Authority går god for BCR-ene MRP-landene retter seg etter dette Men: det kreves likevel at konsernet sender formelle søknader til flere av personvernmyndighetene i EU (ca 75%) Dette er en formalitet som skyldes rettslige teknikaliteter Skal ikke forsinke prosessen i nevneverdig grad 01.12.2011 Side 20
Godkjente BCR hittil: GE ICO (UK) Atmel ICO (UK) Accenture ICO (UK) BP ICO (UK) e-bay Luxemburg Hyatt ICO (UK) Sanofi Aventis CNIL (FR) Michelin CNIL (FR) JPMC ICO (UK) Safran CNIL (FR) Spencer Stuart ICO (UK) Care Fusion ICO (UK) Hewlett Packard CNIL (FR) International SOS CNIL (FR) Bristol Myers Squibb CNIL (FR) 01.12.2011 Side 21
Datatilsynet er p.t. Lead Authority for to søknader Spørsmål om BCR kan gjerne rettes til jsk@datatilsynet.no 01.12.2011 Side 22