Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Binding corporate rules

665 views

Published on

BCR, personvern, EU, direktiv, Safe harbor

Published in: Business, Technology
 • Be the first to comment

 • Be the first to like this

Binding corporate rules

 1. 1. Binding Corporate Rules     -­‐Overføring  av  personopplysninger  2l  tredjestater   5.  mars  2013  v/Inger  Anne  Folkestad  Tornes  og  Kjell  Steffner  
 2. 2. Overføring av personopplysninger til utlandet Typisk   – Skytjenester  /  cloud  compuCng   – Interne  datasystemer  i   internasjonale  konsern,  f.eks.  HR  
 3. 3. Utfordring i internasjonale konsern Lovlig håndtering av personopplysninger   på tvers av jurisdiksjoner
 4. 4. BCR •  Konsernregler  for  internasjonale   organisasjoner   •  Muliggjør  lovlig  transport  av  data  ut  fra  EU/ EØS-­‐området    -­‐  innenfor  egen  organisasjon   •  Gjelder  nå  både  for  databehandlere  og   behandlingsansvarlige  
 5. 5. The eighth data protection principle and international data transfers ”Personal data shall not be transferred to a country or territory outside the EEA unless that country or territory ensures an adequate level of protection for the rights and freedoms of data subjects in relation to the processing of personal data.”
 6. 6. Frykten for Hva som skjer når Data krysser grensen •  Tredjestater  er  stater  uten  for  EU/EØS,   evt.  ikke  særskilt  godkjent   •  ”Safe  Harbor”  gjelder  amerikanske   selskap   •  Mister  personopplysninger  sin   beskySelse  i  det  de  forlater  EU/EØS?  
 7. 7. Art. 25 Personverndirektivet European  Data  Protec6on  Direc6ve  (Direc6ve  95/46/EC,  the  “Direc6ve”)       Eksport er mulig når… tredjestat  sørger  for  et  Clstrekkelig  vernenivå   –  opplysningenes  art,  planlagte  behandlings  formål   og  varighet,  opprinnelsesstat,  endelig   bestemmelsesstat  etc.  etc.  etc.   Andorra,  ArgenCna,  Canada,  Færøyene,  Guernsey,  Isle  of   Man,  Israel,  Jersey,  New  Zealand,  Sveits,  Uruguay  
 8. 8. Art. 26 Personverndirektivet - unntak …eller f.eks. ved bruk av •  Binding  Corporate  Rules   •  EU  Model  Contractual  Clauses   •  Samtykke  fra  den  registrerte…  
 9. 9. Standard application for approval Binding corporate rules for the transfer of personal data WP133
 10. 10. PART 1 APPLICANT INFORMATION •  If  the  Group  has  its  headquarters  in  the  EEA  the   form  should  be  filled  out  and  submiSed  by  that   EEA  enCty.     •  If  the  Group  has  its  headquarters  outside  the   EEA,  then  the  Group  should  appoint  a  Group   enCty  located  inside  the  EEA  –  preferably   established  in  the  country  of  the  presumpCve   lead  DPA  -­‐  as  the  Group  member  with  “delegated   data  protecCon  responsibiliCes”.  This  is  the  enCty   which  should  then  submit  the  applicaCon  on   behalf  of  the  Group.  
 11. 11. Section 2: Short description of data flows •  Brief  descripCon  of  the  scope  and  nature  of  the  data  flows   from  the  EEA  for  which  approval  is  sought.   •  Nature  of  the  data  covered  by  BCRs,  and  in  parCcular,  if   they  apply  to  one  category  of  data  or  to  more  than  one   category  (for  instance  human  resources,  customers,...).     •  Do  the  BCRs  only  apply  to  transfers  from  the  EEA,  or  do   they  apply  to  all  transfers  between  members  of  the  group?     •  From  which  country  most  of  the  data  are  transferred   outside  the  EEA:     –  Extent  of  the  transfers  within  the  Group  that  are  covered  by  the   BCRs;  including  a  descripCon  of  any  Group  members  in  the  EEA   or  outside  EEA  to  which  personal  data  may  be  transferred.  
 12. 12. Section 3: Determination of the Lead Data Protection Authority •  LocaCon  of  the  Group’s  EEA  Headquarters.     •  If  the  Group  is  not  headquartered  in  the  EEA,  the  locaCon   in  the  EEA  of  the  Group  enCty  with  delegated  data   protecCon  responsibiliCes.     •  The  locaCon  of  the  company  which  is  best  placed  (in  terms   of  management  funcCon,  administraCve  burden,  etc.)  to   deal  with  the  applicaCon  and  to  enforce  the  binding   corporate  rules  in  the  Group.     •  Country  where  most  of  the  decisions  in  terms  of  the   purposes  and  the  means  of  the  data  processing  are  taken.     •  EEA  Member  States  from  which  most  of  the  transfers   outside  the  EEA  will  take  place.  
 13. 13. BINDING NATURE OF THE BCRs •  Measures  or  rules  that  are  legally  binding  on  all  members  of   the  Group  Contracts  between  the  members  of  the  Group   •  Unilateral  declaraCons  or  undertakings  made  or  given  by  the   parent  company  which  are  binding  on  the  other  members  of   the  Group   •  IncorporaCon  of  other  regulatory  measures  (e.g.  obligaCons   contained  in  statutory  codes  within  a  defined  legal   framework)     •  IncorporaCon  of  the  BCRs  within  the  general  business   principles  of  a  Group  backed  by  appropriate  policies,  audits   and  sancCons   •  members  of  the  corporate  group,  as  well  as  each  employee   within  it,  will  feel  compelled  to  comply  with  the  internal  rules  
 14. 14. Binding upon the employees •  Work  employment  contract     •  CollecCve  agreements  (approved  by  workers  commiSee/ another  body)     •  Employees  must  sign  or  aSest  to  have  read  the  BCRs  or   related  ethics  guidelines  in  which  the  BCRs  are   incorporated     •  BCRs  have  been  incorporated  in  relevant  company  policies     •  Disciplinary  sancCons  for  failing  to  comply  with  relevant   company  policies,  including  dismissal  for  violaCon     •  Summary  supported  by  extracts  from  policies  and   procedures  or  confidenCality  agreements  as  appropriate  to   explain  how  the  BCRs  are  binding  upon  employees.    
 15. 15. Fordelene ved å implementere Binding corporate rules i organisasjonen
 16. 16. Hva er essensen? •  Transportere  data  friS  innen  egen   organisasjon   •  Organisasjonen  blir  en  trygg  havn  med   Clstrekkelig  vernenivå   •  Markedsmessig  fortrinn  å  ha  sterk   databeskySelse  og  personvern-­‐compliance  
 17. 17. Litt om Personvernprinsippene  
 18. 18. personvernprinsippene 1.  2.  3.  4.  5.  6.  7.  8.  Samtykke  eller  annet  reSslig  grunnlag   Proporsjonalitet   Formålsbestemthet   Relevans  og  minimalitet   Fullstendighet  og  kvalitet   Informasjon  og  innsyn   Informasjonssikkerhet   Særlig  strenge  regler  ved  behandling  av   sensiCve  personopplysninger   9.  Anonymitet  og  sporfri  ferdsel  
 19. 19. Grunnleggende personvernprinsipper NOU 2009:1 ReSmessig  og  rererdig  behandling   •  All  behandling  av  personopplysninger  krever  reSslig  grunnlag,  og  den  behandlingsansvarlige  skal  ta   Clbørlig  hensyn  Cl  den  registrertes  beresgede  personverninteresser.  SensiCve  personopplysninger  er   underlagt  strengere  vern  enn  alminnelige  personopplysninger.   Brukermedvirkning  og  kontroll   •  Den  behandlingsansvarlige  skal  gjøre  behandlingen  transparent  og  forståelig  for  den  registrerte,  slik  at   denne  gjøres  i  stand  Cl  å  overskue  behandlingens  konsekvenser  og  er  i  stand  Cl  å  ivareta  sine   personverninteresser.   Formålsbestemthet   •  Den  behandlingsansvarlige  skal  før  innsamling  og  behandling  av  personopplysninger  angi  et  klart  og   uSrykkelig  formål  med  behandlingen.  Opplysningene  skal  ikke  senere  benySes  for  uforenlige  formål.   Minimalitet   •  Personopplysninger  bare  skal  innhentes,  lagres  og  behandles  i  den  grad  de  er  nødvendige  for  å  oppnå   formålet  med  behandlingen  av  opplysningene.   Datakvalitet   •  Personopplysninger  skal  ha  Clstrekkelig  kvalitet  i  forhold  Cl  det  formålet  de  skal  anvendes  Cl.  DeSe   innebærer  blant  annet  at  opplysningene  skal  være  Clstrekkelig  oppdaterte,  presise  og  relevante  seS  opp   mot  formålet  med  behandlingen.   Informasjonssikkerhet   •  Den  behandlingsansvarlige  (og  databehandleren)  skal  sørge  for  ClfredssCllende  informasjonssikkerhet   med  hensyn  Cl  konfidensialitet,  integritet  og  Clgjengelighet  ved  behandling  av  personopplysninger.  
 20. 20. EU directive / OECD principles 1.  No2ce—data  subjects  should  be  given  noCce  when  their  data  is  being   collected;   2.  Purpose—data  should  only  be  used  for  the  purpose  stated  and  not  for   any  other  purposes;   3.  Consent—data  should  not  be  disclosed  without  the  data  subject’s   consent;   4.  Security—collected  data  should  be  kept  secure  from  any  potenCal   abuses;   5.  Disclosure—data  subjects  should  be  informed  as  to  who  is  collecCng   their  data;   6.  Access—data  subjects  should  be  allowed  to  access  their  data  and  make   correcCons  to  any  inaccurate  data;  and   7.  Accountability—data  subjects  should  have  a  method  available  to  them   to  hold  data  collectors  accountable  for  following  the  above  principles.  
 21. 21. International Safe Harbor Privacy Principles 1.  No2ce  -­‐  Individuals  must  be  informed  that  their  data  is  being   collected  and  about  how  it  will  be  used.   2.  Choice  -­‐  Individuals  must  have  the  ability  to  opt  out  of  the   collecCon  and  forward  transfer  of  the  data  to  third  parCes.   3.  Onward  Transfer  -­‐  Transfers  of  data  to  third  parCes  may  only   occur  to  other  organizaCons  that  follow  adequate  data  protecCon   principles.   4.  Security  -­‐  Reasonable  efforts  must  be  made  to  prevent  loss  of   collected  informaCon.   5.  Data  Integrity  -­‐  Data  must  be  relevant  and  reliable  for  the  purpose   it  was  collected  for.   6.  Access  -­‐  Individuals  must  be  able  to  access  informaCon  held  about   them,  and  correct  or  delete  it  if  it  is  inaccurate.   7.  Enforcement  -­‐  There  must  be  effecCve  means  of  enforcing  these   rules.x  
 22. 22. Inger Anne Folkestad Tornes •  Advokatfullmektig •  Rådgivning for IKT-sektoren •  Jobber med kontraktsrett, personvern og e-handel, samt offentlige anskaffelser •  Tlf. 970 99 524 ift@lynxlaw.no Kjell Steffner •  Advokat, partner •  Særskilt bransjekompetanse innen IKT •  God forståelse for teknologi, prosjektmetodikk og strategi •  Jobber med kontraktsrett, forhandlinger, offentlige anskaffelser og personvern •  Tlf. 905 11 901 ks@lynxlaw.no
 23. 23. LYNX  advokaQirma  DA   Hieronymus  Heyerdahls  gate  1   N-­‐0160  Oslo     hSp://lynxlaw.no/    

×