Om nettsky, cloud, Privacy Shield, personvern, Safe Harbor, juss og veien videre for offentlige og private som vil benytte skytjenester - på Software 2016
16. Hva er en «overføring»?
1. Flytte data til server utenfor EU/EØS
2. Tilgang til data i EU/EØS for personell lokalisert utenfor
EU/EØS
Betyr at «europeiske skyer» – vilkår må sjekkes for tilgang for
servicepersonell lokalisert utenfor EU/EØS selv om serveren
står i Europa
Grunnlag for overføring ut av EØS 16
17. Hva er vi redde for ved USA?
• NSA?
• Andre myndigheters overvåkning?
• Reell sikkerhet hos bedriftene som sier de er «trygge»?
• Manglende personvernlovgivning som danner en trygg ramme
• Individets mulighet til å forsvare seg rettslig
• Erstatningskravenes størrelse (relevant med ny lovgivning og solidaransvar mellom
behandlingsansvarlig og databehandler!)
• Avhengig av hvem du representerer – bare det å ikke være compliant?
Tittel på presentasjon 17
18. Hjemler for overføring før Max Schrems
Safe Harbour
Bindende selskapsregler (PBCR/BCR)
Samtykke og øvrige unntak I POL § 30 første ledd
Modellavtaler/SCC – informasjonsplikt v sens. data!
Grunnlag for overføring ut av EØS 18
19. C-362/14 Max Schrems (“Safe Harbour-dommen”)
• US mass surveillance is not giving adequate protection for EU citizens in light of
human rights (EMK)
• EU citizens have no real possibility of redress
• It applies to Safe harbour, but the objections applies to all transfers, no matter what
legal grounds they are based upon
Alternativer til Safe Harbour 19
20. Alternatives etter Max Schrems – Januar 2016
Safe Harbour
Bindende selskapsregler (PBCR/BCR)
Samtykke og øvrige unntak i POL § 30 første ledd
Modellavtaler – informasjonsplikt v sens. data!
Lagre hjemme - UTEN tilgang fra USA
Grunnlag for overføring ut av EØS 20
21. Modellavtaler – hva må på plass?
• Tre utgaver av modellavtalene
• To mellom ulike behandlingsansvarlige
• En mellom behandlingsansvarlig i EU/EØS og databehandler i tredjeland
• Avtalene med vedlegg må fylles ut og inngås før overføring finner sted
• Avtaler mellom behandlingsansvarlig og databehandler der modellavtalen brukes
uforandret må meldes og oversendes Datatilsynet før overføringen starter
• Betyr at man må passe på formalitetene der man kjøper tjenester på
cloudplattformer der sluttbruker ikke er avtalepart med cloudleverandør
• Alle andre avtaler krever godkjenning fra Datatilsynet før overføring
OBS: Informasjonsplikt overfor den registrerte dersom sensitive opplysninger lagres
Alternativer til Safe Harbour 21
25. The shield… will take time to know real content
• Will prevent the A-29-group from stopping transatlantic business – for now
• Safeguards and transparency obligations on US government access
• access to the data for law enforcement and national security purposes
will be subject to clear limitations, safeguards and oversight
mechanisms, and that such access will only be used to the extent
necessary and proportionate
• there will be no indiscriminate mass surveillance on personal data
covered by the framework
• there will be annual joint review of the framework, including national
security access
• annual reviews from the commission, and US intelligence experts and
European data protection authorities may participate
Tittel på presentasjon 25
26. The shield..
Stronger obligations to protect personal data of European citizens
• importers will have to commit to robust obligations on processing,
guaranteeing rights for the individual
• the US Department of Commerce will monitor that the commitments are
public
• the US Federal Trade Commission will enforce the commitments
• importers handling human resources data will also need to comply with
decisions of European data protection authorities
Tittel på presentasjon 26
27. The shield..
Several redress options for EU citizens
• filing a complaint directly with the importer
• alternative dispute resolution put in place by the importer which must
be free of charge
• filing a complaint with the relevant European DPA, that may forward
complaints to the US Department of Commerce or the Federal Trade
Commission
• with respect to national security access, the US will establish a
functionally independent US Ombudsperson to address complaints of
possible access by national intelligence authorities
• With what powers?
Tittel på presentasjon 27