Artikkel

Overføring av personopplysninger til utlandet

Binding Corporate Rules

Stadig flere virksomheter overfører opplysninger om kunder, ansatte, samarbeidspartnere, leverandører etc. til utlandet. Hensyn som økonomi og kompetanse kan gi motivasjon til en slik overføring. Samtidig er det en økende bekymring bak slike arrangementer, særlig med tanke på opplysningene behandles i utlandet. Er opplysningene godt nok sikret?

Hva skjer om opplysningene kommer på avveie? Fra EU-hold jobbes det med et lovforslag hvor konsekvensen av å ikke ha god nok kontroll på opplysningene skal bli større. Eksempelvis er det foreslått at brudd på personopplysningsloven kan medføre bøter opp mot 5% av brutto global omsetning.

Personopplysningsloven definerer personopplysninger som opplysninger og vurderinger som kan knyttes til en enkeltperson, eksempelvis et selskaps registrerte opplysninger om egne ansatte eller kunder. Stadig flere norske selskaper overfører personopplysninger ut av Norge og ut av EU/EØS. Eksempelvis benyttes fjernsupportløsninger for IT-drift i India, eller vi ser eksempler på at internasjonale konsern har sentralisert personaladministrasjonen for alle deler av konsernet i lavkostland øst i Europa. Det kan være flere grunner til dette;  jakten på kompetanse eller ønske om å kutte kostnader er to eksempler.  Et betimelig spørsmål er hvorvidt sikringen av opplysningene og personvernvernet er viet den oppmerksomhet som slik behandling krever. På side 4 i Dagens Næringsliv 8. januar 2014 reiser tidligere justis- og beredskapsminister Grete Faremo samme spørsmål og roper et varsko for personvernet.

Overføring av personopplysninger til utlandet er å anse som en behandling av personopplysninger, med den konsekvens at personopplysningsloven får anvendelse. Så fremt personopplysningslovens generelle krav til behandling av personopplysninger er oppfylt, eksempelvis at virksomheten oppfyller lovens krav til i det hele tatt å ha et elektronisk kunderegister, kan personopplysninger overføres til land som sikrer en forsvarlig behandling av opplysningene.  Alle EU og EØS-stater anses for å skulle ha en forsvarlig behandling, i kraft av å ha gjennomført personverndirektivet.  Personopplysninger kan også overføres til land som Europakommisjonen har godkjent, eksempelvis Sveits, Canada og Argentina, og enkeltbedrifter i USA som har sluttet seg til Safe Harbor.

Ved overføring av personopplysninger til stater som ikke anses for å skulle ha en forsvarlig behandling av personopplysninger er lovens utgangpunkt at den som får sine opplysninger behandlet må samtykke til overføringen. Ofte er dette ikke en særlig god løsning for den som ønsker å overføre opplysningene. Et annet mer relevant alternativ er at Datatilsynet kan tillate overføring dersom den behandlingsansvarlige gir tilstrekkelige garantier for vern av den registrertes rettigheter. Dersom både den norske og den utenlandske virksomheten underskriver en avtale for overføring til utlandet, og håndteringen av opplysningene som overføres, vil Datatilsynet legge til grunn at det er stilt tilstrekkelig garantier for den registrertes personvern og overføringen vil tillates. Det finnes standardkontrakter til slikt bruk og ved en slik fremgangsmåte er ansvaret for behandlingen av opplysningene plassert.

Binding Corporate Rules

Bruk av standardkontrakter vil i mange tilfeller være en hensiktsmessig måte å sikre en forsvarlig behandling av personopplysninger utenfor EU/EØS, eller de land som ikke er godkjent av EU. I de tilfeller det er tale om flere overføringer til flere land vil den som skal holde oversikten over dataflyten lett miste oversikten ved bruk av ovennevnte metode. I slike tilfeller vil et godt instrument være bruken av Binding Corporate Rules (BCR).

BCR er konsern- eller selskapsinterne regler som regulerer håndtering av personopplysninger på en ensartet måte i hele den globale selskapsstrukturen. BCR skal gi et sett med personvernprinsipper og omtale av prosedyrene som skal trygge etterlevingen i praksis. Før bindene konsernregler er klare for bruk kreves godkjenning fra Datatilsynet, som igjen må ha en godkjenning fra minst én annen personvernmyndighet innen EU.  BCR er anbefalt av Datatilsynet, men det er i dag kun noen får virksomheter som så langt har benyttet seg av ordningen. Forslag til endringer i lovverket indikerer imidlertid at det skal bli letter å få BCR på plass og er etter vår oppfatning en indikasjon på at man ønsker at flere virksomheter skal ta i bruk BCR.

Det ligger litt jobb bak å få BCR på plass, men når jobben først er gjort står man overfor en tidløs ordning som tillater fri flyt av opplysningene på kryss og tvers i den globale organisasjonen. Ordningen er blant annet mye brukt i land som Tyskland, Frankrike og U.K.

Ny personvernforordning

Forlag til ny personvernforordning er lagt frem og vil ved ikrafttredelse også få konsekvenser i Norge. Blant forslagene i den nye forordningen ligger en forankring av dagens praksis av BCR i personvernlovgivningen.

I forslag til ny personvernforordning ligger også justering av Datatilsynets mulighet til å sanksjonere mot brudd på behandling av personopplysninger. Datatilsynet har i dag mulighet til å fatte vedtak om overtredelsesgebyr på inntil 10G (ca 850.000) for den som overtre personopplysningsloven eller forskrift til loven. I forslag til ny personvernforordning foreslås det at det skal kunne gis overtredelsesgebyr på opp mot 5 % av global omsetning. Da begynner det å bli dyrt å ikke følge personopplysningslovens reguleringer av håndtering av personopplysninger.

Deloitte har i sin globale organisasjon tung ekspertise fra implementering av Binding Corporate Rules i ulike typer virksomheter. Skulle det være noen spørsmål kontakt gjerne:

Var denne siden nyttig?