Hva i himmelens navn er lov?

Fagfolk mener...

9. juni 2011
Offshoring og Cloud Computing gir begge løfter om billigere tjenester. De mest fremtredende utfordringene er sikkerhet og lovlighet.

Vi erfarer stadig at bevisstheten rundt utfordringene er lav, kanskje særlig rundt lovlighet.

Av advokatene Marit Larsen og Espen Werring

Lovligheten knytter seg blant annet til overføring, lagring og annen behandling av personopplysninger og andre typer data (for eksempel opplysninger omfattet av sikkerhetsloven eller IKT-forskriften) utenfor Norge. Vi skal begrense oss til å si litt om hva som er lov når det gjelder overføring av personopplysninger ut av Norge og EU/EØS.

Alle bedrifter håndterer personopplysninger i en eller annen form. Lovlig håndtering er høyt på agendaen hos personvernmyndighetene, og er ikke minst viktig for kunders og ansattes tillit til virksomheten. 

Så, hvordan kan en norsk virksomhet lovlig overføre personopplysninger til utlandet?
Et grunnleggende vilkår er at personopplysninger bare kan overføres til land som sikrer en forsvarlig behandling av opplysningene. I tillegg er det en rekke andre vilkår som må være oppfylt, men disse gjelder like mye ved overføring innenfor Norge som utenfor.

 

Etterlyser sterkere bevissthet: Espen Werring (Haavind) (t.v.) og Øyvind Schønemann (leder i Faggruppen Outsourcing og Offshoring) mener at det bør være mer bevissthet rundt datalagringsproblematikken knyttet til offshoring og Cloud-tjenester. (Foto: Cille Berglund, Dataforeningen)
Etterlyser sterkere bevissthet: Espen Werring (Haavind) (t.v.) og Øyvind Schønemann (leder i Faggruppen Outsourcing og Offshoring) mener at det bør være mer bevissthet rundt datalagringsproblematikken knyttet til offshoring og Cloud-tjenester. (Foto: Cille Berglund, Dataforeningen)

EU/EØS-området
Overføring av personopplysninger innenfor EØS området er tillatt. Det følger av personverndirektivet, som er implementert i Norge gjennom personopplysningsloven.

EU-godkjente land
EU har vurdert at overføring til følgende land utenfor EØS er OK, da de anses å ha et tilstrekkelig beskyttelsesnivå for behandling av personopplysninger: Sveits, Canada, Argentina, Guernsey, Jersey, Isle of Man, Andorra, Færøyene, Israel, Australia. I tillegg ligger det nå an til at også New Zealand og Uruguay vil få slik godkjenning.

USA – Safe Harbor
Overføring til USA medfører litt mer plunder og heft. EU mener at USA ikke sikrer en bred nok beskyttelse av personopplysninger. I USA har de så langt bare egne regler for utvalgte bransjer, ikke som i EU hvor man har generelle regler uavhengig av bransje. Utviklingen i USA går i retning av EU. Botemiddelet heter Safe-Harbor. Dette er et sett av prinsipper vedtatt av amerikanske myndigheter for å sikre et tilstrekkelig beskyttelsesnivå for europeiske personopplysninger. EU-kommisjonen har bestemt at amerikanske virksomheter som erklærer å følge Safe-Harbor prinsippene lovlig kan behandle personopplysninger fra EU/EØS.

Andre land
Selv om landet mottakeren er etablert i ikke er godkjent (tredjeland), finnes det løsninger for å overføre personopplysninger dit. Loven legger her opp til at den som overfører personopplysningene (kunden) og den som mottar personopplysningene (tjenesteyteren) kan inngå en avtale som pålegger tjeneste-yteren en rekke plikter knyttet til behandlingen av personopplysningene. EU har utarbeidet ulike standardkontrakter for dette formålet. Disse ble bedre tilpasset for outsourcing og Cloud Computing i fjor. I uendret form går disse standardkontraktene stort sett gjennom godkjennings-prosessen hos Datatilsynet.

I tillegg til det som her er sagt om personopplysninger, reiser offshoring og Cloud Computing en rekke andre lovmessige og kontraktuelle problemstillinger. Disse må vi la ligge til neste gang.

blog comments powered by Disqus