Publisert: 16. november 2015

Sjekkliste for hva man må passe på i overgangen fra Safe Harbour!

Schrems- avgjørelsen i EU-domstolen, som har vært mye diskutert i det siste, fastslår at overføring av personopplysninger til amerikanske selskaper som baserer seg på Safe Harbour er ulovlig. Dette innebærer at alle selskaper som benytter seg av eksterne leverandører må finne ut om de har avtaler som bygger på Safe Harbour og eventuelt overføre disse til EU sine Standard Contractual Clauses (SCC). Reglene gjelder i to tilfeller:

  1. når servere er plassert i USA
  2. hvis data på servere som er plassert i Europa kan aksesseres av personell fra USA.

 

For å finne ut om SCC må brukes anbefaler vi følgende fremgangsmåte:

  • Identifiser hvilke leverandører selskapet benytter, dette omfatter alle tjenesteytere som behandler personopplysninger, som for eksempel HR-systemer, lønnssystemer, systemer som behandler kundedata, IT-drift, etc.
  • Kartlegg hvor leverandørene behandler og lagrer data.
  • kartlegg hvilke underleverandører leverandørene bruker, og i hvilke land underleverandørene behandler og lagrer dataene. Som nevnt over vil også lokasjonen til personalet som benyttes, kunne innebære en overføring til USA og utløse plikten til å inngå SCC.
  • Dersom kartleggingen viser at opplysninger enten lagres i USA eller er tilgjengelig fra USA må slike avtaler reforhandles til å omfatte SCC.

 

Når man vet at man er nødt til å bruke SCC må følgende gjøres:

  • Signer SCC med tjenesteyter som er lokalisert utenfor EU/EØS.
  • Send inn signert SCC med vedlegg til Datatilsynet. Dette er en klar forpliktelse etter loven og noe Datatilsynet er svært opptatt av. Det samme gjelder i mange andre EU-land. Inntil avtalen er sendt inn, er bruken av tjenesten ulovlig.
  • Husk også at flere leverandører leverer store avtaler, hvor SCC bare er et vedlegg til et helt kompleks. I disse tilfellene er det viktig å avklare rangordningen og at ikke helheten gjør noen inngrep i rettighetene som står i SCC. Dersom SCC i realiteten er endret må man søke godkjennelse av Datatilsynet før tjenesten kan brukes.
  • Oppdater interne rutiner for inngåelse av avtaler med leverandører, hvor personopplysninger blir overført til eller kan aksesseres fra land utenfor EU/EØS.

EU arbeider hardt for å få på plass andre mekanismer en SCC og forhandler med USA om dette. Det arbeides mot en frist i slutten av januar 2016, hvoretter datatilsynene har signalisert at de vil bli enda strengere i sin tolkning av regelverket hvis ikke en annen løsning finnes. I skrivende stund kan vi bare slå fast at dette er et rettsområde i bevegelse og at virksomhetene snarest må kartlegge hvor deres opplysninger er tilgjengelige fra, fordi dette vil bli viktig uansett hvilken løsning EU og USA kommer til.

Hvis dere har spørsmål til noe av dette kan dere kontakte advokat og partner Arve Føyen som er tilknyttet til IKT media avdelingen i Føyen Torkildsen.

 

 

 

 

 

 

google maps
Dette nettstedet bruker informasjonskapsler (cookies) slik at vi kan yte deg bedre service. Informasjonskapslene blir hovedsakelig benyttet for trafikkmåling og optimalisering av tjenesten. Du kan også lese mer om vår bruk av informasjonskapsler.