Der Datatilsynet aldri kan nå - personvern i en global tidsalder
02.06.2010
EU-kommisjonen har nylig vedtatt et nytt sett av standardiserte kontraktsbestemmelser for databehandlere som overfører personopplysninger til land utenfor EU/EØS (såkalte tredjeland). Standardbestemmelsene skal gjøre det enkelt å sikre at personvernet som gjelder i EU/EØS, også skal gjelde for personopplysninger som overføres til aktører utenfor EU/EØS, for eksempel ved outsourcing av IT-drift til lavkostland.
Medlemslandene i EU og EFTA-landene er forpliktet til å sikre at overføring av personopplysninger til tredjeland bare skjer dersom det aktuelle tredjelandet har et ”tilstrækkeligt beskyttelsesniveau” for behandling av slike opplysninger, jfr. EUs personopplysningsdirektiv (95/46/EF av 24. oktober 1995) artikkel 25 nr 1. Ifølge direktivets artikkel 25 nr 2 skal vurderingen av hvorvidt et tredjeland har et ”tilstrækkeligt beskyttelsesniveau” skje på grunnlag av
”samtlige de forhold, der har indflydelse på en videregivelse eller en type videregivelse af oplysninger; til grund for vurderingen lægges navnlig oplysningernes art, den eller de påtænkte behandlingers formål og varighed, oprindelseslandet og det endelige bestemmelsesland, de retsregler - almindelige regler eller sektorregler - der er i kraft i det pågældende tredjeland, samt de regler for god forretningsskik og de sikkerhedsforanstaltninger, der gælder i landet.”
Bestemmelsen fastsetter således prinsippene som skal ligge til grunn for vurderingen av hvorvidt et tredjeland overholder EU-reglenes beskyttelsesnivå. For den enkelte bedrift eller organisasjon som ønsker å inngå en kontrakt om databehandling utenfor EU/EØS (dvs ”Dataeksportøren”) kan det imidlertid være vanskelig å vurdere om hjemlandet til den potensielle kontraktsparten (dvs ”Dataimportøren”) har regler med ”tilstrækkeligt beskyttelsesniveau”. Slik rettslig usikkerhet er noe EUs standardiserte kontraktsbestemmelser skal forsøke å avhjelpe, ved å oppstille strenge krav til både Dataeksportørens og Dataimportørens behandling av personopplysninger.
Standardkontraktsbestemmelsene regulerer for første gang eksplisitt de tilfeller hvor Dataimportøren benytter seg av en underleverandør som befinner seg utenfor EU/EØS, ved at personopplysninger overføres fra Dataimportøren videre til en tredjepart. De nye bestemmelsene fastsetter blant annet at Dataimportøren ikke kan benytte en slik underleverandør uten skriftlig forhåndssamtykke fra Dataeksportøren. Dersom det foreligger et slikt samtykke, må Dataimportøren deretter inngå en skriftlig avtale med underleverandøren, hvor sistnevnte pålegges de samme forpliktelsene som påhviler Dataimportøren i henhold til EUs standardbestemmelser for øvrig. Videre er det blant annet fastsatt at det er Dataimportøren som blir erstatningsansvarlig overfor Dataeksportøren dersom underleverandøren skulle misligholde disse forpliktelsene. For øvrig fremgår det at lovgivningen i Dataeksportørens hjemland også regulerer kontraktsforholdet mellom Dataimportøren og underleverandøren som befinner seg utenfor EU/EØS.
Ved bruk av de nye standardbestemmelsene sikrer man i prinsippet at personopplysninger skal behandles i henhold til de samme strenge reglene uavhengig av hvor i verden databehandleren måtte befinne seg, og uavhengig av om det er benyttet underleverandører eller ikke. Siden Dataimportøren er ansvarlig overfor Dataeksportøren også for eventuell videre outsourcing, har sistnevnte dessuten en god mulighet for å sanksjonere eventuelle personvernbrudd hos en fjern underleverandør. De nye standardbestemmelsene kan derfor være et nyttig redskap for det stadig økende antallet bedrifter og organisasjoner som ønsker en outsourcing av databehandling til fjerne himmelstrøk.
EUs standardkontraktsbestemmelser finner du her
EUs personverndirektiv finner du her