Friere flyt av personopplysninger

Friere flyt av personopplysninger

JUSS OG IT: EU gjør det enklere for multinasjonale selskaper.

For selskaper som har deler av sin virksomhet både innenfor og utenfor EU, har Artikkel 29-gruppen (opprettet i henhold til personverndirektivet, Artikkel 29) lagt til rette for etablering av konserninterne regler som ivaretar kravene til et tilfredsstillende nivå av personvern, selv om ett eller flere av selskapene i konsernet befinner seg utenfor EU. Reglene går under betegnelsen Binding Corporate Rules (BCR).

BCR er ikke nevnt spesifikt verken i personverndirektivet eller i personopplysningsloven. Reglene innebærer at konsernet gjennom reglene må gi "tilstrekkelige garantier for registrertes personvern".

Internt

BCR er praktisk når et konsern opererer i ett eller flere EU-/EØS-land, og ønsker å overføre personopplysninger fra ett eller flere EU/EØS-land til filialer eller datterselskap i ett eller flere land utenfor EU/EØS.

BCR gjelder bare for overføringer internt i konsern. Når de bindende reglene er godkjent av relevante tilsynsmyndigheter, er de hjemmel for overføringer fra samtlige EU-/EØS-land til samtlige deler av konsernet som omfattes av reglene.

Artikkel 29-gruppens hjemmesider har veiledere for etablering av BCR.

Det mest nærliggende "datatilsyn" fungerer som inngangssted - "lead authority" for godkjennelse, og godkjennelsen hos "lead authority" vil danne grunnlag for forenklet saksbehandling i øvrige tilsyn, men dette innebærer ikke en one stop shopping-ordning.

"Lead authority" koordinerer til en viss grad overfor øvrige landene der konsernet har virksomhet.

Nyttig

Artikkel 29-gruppen (arbeider med ytterligere ett interessant initiativ som vil tilrettelegge for databehandling over landegrenser med ivaretakelse av personvernhensyn på en tilfredsstillende måte.

Det nye initiativet går under betegnelsen Binding Safe Processor Rules (BSPR), og tar sikte på at en europeisk it-driftsleverandørs overføring av kundenes personopplysninger til land utenfor EU-/EØS-området kan foretas i henhold til godkjente "binding processor rules", uten at det er nødvendig for den behandlingsansvarlige å inngå avtale direkte med databehandler som i siste instans foretar behandlingen.

Dette vil bli et nyttig verktøy for outsourcing leverandører og leverandører av cloud-tjenester. Det foreligger utkast og det er ventet at slike regler vil foreligge i løpet av dette året.

Les om: