Blir lettere i skyen

Av Kristin Haram, Senior Advokat, Simonsen Advokatfirma og styremedlem i Faggruppen Cloud Computing

De europeiske personvernmyndighetene har nylig publisert en veiledning som muliggjør en klar forenkling for skytjenesteleverandører. Samtidig kan problemstillingen om behandling av personopplysninger i skyen endelig være løst.

Dermed er det endelig lys i tunellen for leverandører og brukere av skytjenester og globale outsourcingtjenester som vil sikre seg å overholde kravene til overføring av personopplysninger. Europeisk og norsk regelverk stiller strenge krav til overføring av persondata utenfor EØS-området. Som utgangspunkt er slik overføring forbudt og dette har gjennom lengre tid skapt hodebry for skytjenesteleverandørene og kundene som ser åpenbare fordeler i global dataoverføring.

Artikkel 29-gruppen, som er en rådgivende gruppe sammensatt av representanter fra personvernmyndigheter i EU-medlemslandene, publiserte nylig et arbeidsdokument som støtter såkalte Binding Corporate Rules for tjenesteleverandører som bedriver global dataoverføring (Processor Binding Corporate Rules - heretter kalt ”PBCR”). Arbeidsdokumentet er basert på suksessen med implementeringen av Binding Corporate Rules (”BCR”) for virksomheter, som gjør det både lovlig og mulig med global dataoverføring innenfor et konsern. BCR gjelder dog kun overføring innenfor egen organisasjon, og innebærer ikke et grunnlag for å overføre data til tjenesteleverandører.

Det nye arbeidsdokumentet om BCR for tjenesteleverandører er banebrytende, og inneholder en fullstendig sjekkliste for globale databehandlere, som skal gjøre det enklere for databehandleren å bli en sikker mottager og behandler av personopplysninger globalt. Dette er gode nyheter for databehandlere som driver med skytjenester og outsourcing-tjenester, der personopplysninger blir overført til land utenfor EU (såkalte tredjeland), for eksempel til India. Det er også gode nyheter for brukerne av slike tjenester, fordi brukerne skal kunne sende personopplysninger til tjenesteleverandøren, uten å gå veien om de relativt byrdefulle mekanismene vi kjenner fra før, for overholdelse av EU-kravene til overføring av personopplysninger til tredjeland (for eksempel via EUs standardavtaler for overføring til tredjeland).

Bruk av skytjenester avstedkommer et behov på kundens side for å sikre sine data på en måte som gjør at personopplysninger blir lagret, håndtert, benyttet og overført på lovlig vis og i henhold til partenes avtalte formål. Ofte fremstår dette behovet vanskelig å overkomme, særlig på grunn av kompleksiteten av avtalene om skytjenester, som ofte involverer overføring til og lagring av personopplysninger i tredjeland. Avtaler om skytjenester inngås som hovedregel likt for alle kunder, med standardiserte tjenester og avtaler, og det ligger i skytjenestenes natur at man ikke vet helt hvor dataene befinner seg til enhver tid, med bruk av mange datasentre plassert i forskjellige land.

Det er flere måter å inngå avtale om skytjenester på for å overholde regelverket med hensyn til overføring av personopplysninger til tredjeland, og den viktigste mekanismen kjenner vi som EUs standardkontrakter for slik overføring, der den behandlingsansvarlige (kunden) og databehandleren (tjenesteleverandøren) inngår enn dataoverføringsavtale for hvert tredjeland dataene lagres i. Problemet med denne løsningen har blant annet vært at (for Norges vedkommende) Datatilsynet skal godkjenne hver inngått avtale før overføringene kan starte, samt at man ser at antallet avtaler man må inngå kan stige opp til et meget høyt nivå for hver tjenesteleverandør og dens kunder.

Det har lenge vært diskutert hvordan man skal kunne finne mekanismer som løser utfordringene vi har sett med overføringene av personopplysninger i skyen, og med implementering av PBCR kan disse forsvinne. PBCR vil være en effektiv måte å håndtere de pågående utfordringer med å flytte data over hele verden. PBCR er et sett med bindende konserninterne retningslinjer for global dataoverføring. PBCR går i korthet ut på å etablere en forutsigbar og fleksibel løsning for behandling av personopplysninger mellom konsernselskapene hos en multinasjonal tjenesteleverandør, der overføringer av personopplysninger skjer på tvers av landegrensene fra EØS til konsernselskaper etablert i tredjeland. PBCR skal så gå gjennom en forhåndsgodkjenning fra relevante tilsynsmyndigheter i EU. De godkjente retningslinjene, utgjør deretter en garanti fra tjenesteleverandøren om at kundens personopplysninger er trygge uansett hvor de befinner seg i forbindelse med tjenesteytelsene fra leverandøren.

I og med Artikkel 29 gruppens arbeidsdokument, er PBCR-ordningen er en farbar vei å gå for tjenesteleverandører som ønsker å være en garantist for at de, innenfor sitt konsern, behandler personopplysninger i tråd med EU-regelverket:

• Ved å få godkjent PBCR, vil tjenesteleverandøren få status som "sikker databehandler", som igjen gir tjenesteleverandørens kunder en mulighet til å overkomme de hindringene og utfordringene vi hittil har sett under EU-lovgivningens strenge krav til databehandlers behandling og overføringer av personopplysninger globalt.
• PBCR vil innebære et alternativ til bruk av EUs standardavtaler og øvrige eksisterende garantier for globale dataoverføringer. Slike multiple garantier har hittil representert et lite fleksibelt, og ikke minst byrdefullt, system for databehandlere.
• PBCR åpner for at databehandlere kan få godkjent sine egne retningslinjer for sikker behandling og overføring av kundenes personopplysninger, og innebærer derfor en hensiktsmessig selvregulering.

Artikkel 29-gruppens arbeidsdokument innholder en liste over elementer som tjenesteleverandørene må ha på plass for å få godkjent sin PBCR. Å få godkjent PBCR krever et sett med interne retningslinjer og rutiner som må på plass i hele konsernet, og det kreves blant annet at de ansatte skal ha god opplæring som sikrer en effektiv gjennomføring av retningslinjene.

PBCR skal være linket til tjenesteavtalen som tjenesteleverandøren signerer med hver av sine kunder (SLA), via en henvisning fra SLA til PBCR. Ettersom PBCR vil være forhåndsgodkjent av tilsynsmyndighetene, vil ikke Datatilsynet kreve at behandlingsansvarlige på nytt må søke godkjenning for overføringen til tredjelandet. Slik sett utgjør de nye reglene en klar forenkling når det gjelder internasjonale overføringer av personopplysninger i forbindelse med offshoring og skytjenester.

Artikkel 29 gruppen jobber videre med PBCR og har uttalt at de skal utvikle godkjenningsprosedyrer for PBCR og søknadsskjemaer for dette, men arbeidsgruppens dokument innebærer at internasjonale tjenesteleverandører allerede nå har et grunnlag for å etablere interne retningslinjer som kan godkjennes som PBCR.