Hva er mulighetene for å legge lovlige begrensninger på hvor en IKT-leverandør kan ha sitt personale (offshoring) og hvor data kan befinne seg

1. Bestemmelser om
geografisk plassering av personell og data
i IKT-kontrakter
- Offshoring og nettskyer
Advokat Eva I. E. Jarbekk
June 20, 20131

2. Lokasjonsbestemmelser i driftsavtaler
June 20, 20132

3. Tema
June 20, 20133

4. Fordi
June 20, 20134
Geografisk plassering av data kan utløse
•Prisbesparelser – det er fint, hvis det er håndterbart ifht konkurransekriterier
•Krav til samtykke fra Datatilsynet – tar tid og har ikke alltid garantert positivt utfall
•Informasjonsplikt overfor de som er registrert
Dette bør man ha tenkt på før utlysing av konkurranse
• Geografisk begrensning av datalokasjon?
• Lav prising grunnet bruk av ressurser i land man ikke vet om godkjennes, hva
gjør man da?

5. Virginia with
backup in
Washington
United States
Canada
Mexico
 Puerto Rico
Dublin with backup in Amsterdam
 Austria
 Belgium
 Czech Republic
 Denmark
 Finland
 France
 Germany
 Greece
 Hungary
 Ireland
 Italy
Israel
 Netherlands
 Norway
 Poland
 Portugal
 Romania
 Spain
 Sweden
 Switzerland
 UK
Singapore with backup in Hong Kong
 Australia
 China
 Hong Kong
 India
 Japan
 Malaysia
Brazil with backup in
Chile
 Brazil
 Chile
Colombia
 New Zealand
 Singapore
 South Korea
 Taiwan

6. Trend
Nettskyer tvinger seg frem pga effektivitet og
kostnadsbesparelser
Kilde: IT i praksis – Rambøll - bruk av IT i de 500 største private og offentlige virksomhetene i Norge
June 20, 20136
Offentlig sektor Privat sektor
2010 11% 17%
2011 33% 38%
2012

8. Regler om PO i utlandet
June 20, 20138

9. Hovedregel i § 29
Utgangspunkt: POLs generelle krav til behandling av personopplysninger er oppfylt
(§§8, 9, 11);
• PO kan overføres til land innen EU og EØS-området
• PO kan overføres til land som Europakommisjonen har godkjent (liste)
• PO kan overføres til enkeltbedrifter i USA som har sluttet seg til Safe Harbor
Ikke konsesjonspliktig i seg selv, men overføringen må beskrives i
konsesjonssøknad eller melding knyttet til hovedformålet
June 20, 20139

10. Overføring til andre tredjeland og vsh i USA utenfor Safe Harbor
Må følge ”unntakene” i § 30
I utgangspunktet er overføring ikke tillatt med mindre unntak kan brukes
June 20, 201310

11. Overføring av PO til utlandet
§ 30 Unntak
Personopplysninger kan også overføres til stater som ikke sikrer en forsvarlig behandling av
opplysningene dersom
a)den registrerte har samtykket i overføringen,
b) det foreligger plikt til å overføre opplysningene etter folkerettslig avtale eller som følge av
medlemskap i internasjonal organisasjon,
c) overføringen er nødvendig for å oppfylle en avtale med den registrerte, eller for å utføre
gjøremål etter den registrertes ønske før en slik avtale inngås,
d) overføringen er nødvendig for å inngå eller oppfylle en avtale med en tredjeperson i den
registrertes interesse,
e)overføringen er nødvendig for å vareta den registrertes vitale interesser,
f) overføringen er nødvendig for å fastsette, gjøre gjeldende eller forsvare et rettskrav,
g)overføringen er nødvendig eller følger av lov for å beskytte en viktig samfunnsinteresse, eller
h)det er fastsatt i lov at det er adgang til å kreve opplysninger fra et offentlig register.
June 20, 201311

12. Overføring av PO til utlandet
§ 30 Unntak
Datatilsynet kan tillate overføring selv om vilkårene i første ledd ikke er oppfylt dersom den
behandlingsansvarlige gir tilstrekkelige garantier for vern av den registrertes rettigheter. Datatilsynet
kan sette vilkår for overføringen.
Typisk:
EUs standardavtaler
Binding Corporate Rules (BCR)
Processor Binding Rules (PBCR)
June 20, 201312

13. EUs standard avtaler/modellavtaler
To hovedtyper avtaler
• Overføring til databehandler i utlandet
• Overføring til en annen virksomhet som skal bruke opplysningene til eget formål
• 2 alternative kontrakter
• Forskjellige erstatningsbestemmelser
June 20, 201313

14. EUs standardavtaler
Presise bestemmelser om
•Hvilke typer opplysninger som kan overføres
•Hva opplysningene kan brukes til
•Hvor de skal lagres
•Hvor lenge
•De registrerte skal informeres ifbm sensitive PO
•Hvis man gjør endringer, f eks tar ut bestemmelsen om informasjon til de registrerte, vil avtalen
ikke bli godkjent
Hvis man gjør noe annet enn hva som er beskrevet, må ny avtale inngås og godkjennes
Mye arbeid, tar tid i DT
June 20, 201314

18. Binding Corporate Rules - konsern
• Fra artikkel 29-gruppen
• Grunnlag for overføring når de gir tilstrekkelige garantier for den registrertes
personvern
• Praktisk der konsern opererer i og utenfor EU-/EØS-land
• 19000 overføringsavtaler eller en BCR?
• Veiledere på Artikkel 29-gruppens hjemmesider
• Videreføres i ny EU-forordning
• Diskusjoner EU/USA/Asia om gjensidig godkjenning av BCRJune 20, 201318

19. Binding Corporate Rules - forvaltning
• Processor Binding Corporate Rules
• Grunnlag for bruk av databehandler som lagrer opplysninger
utenfor EU/EØS
• Ingen godkjent pt
• Informasjonsplikt til de registrerte?
• Veiledere på Artikkel 29-gruppens hjemmesider
June 20, 201319

20. Begrense geografisk i anbud?
• Fristende ifht pol’s regler
• General Procurement Agreement
• GPA-avtalen
• plurilateral avtale, omfatter 41 av WTOs medlemmer
• Likebehandling og ikke-diskriminering for tjenester mellom
landene
• Kan ikke ekskludere GPA-medlemmer

21. GPA-avtalen
• Omfatter datatjenester
• Vanskelig å sette en begrensning i konkurransegrunnlaget om at
plattformen kun kan etableres i EU
• Selv om GPA-land må inkluderes, kan Datatilsynet sette
begrensninger på eventuelle overføringer

22. Det antas at inngåelsen av den reviderte GPA-avtalen vil forenkle
tiltredelsesforhandlingene med nye land. Det forhandles nå med en rekke WTO-
land, deriblant Kina, Ukraina og New Zealand om tiltredelse til GPA-avtalen. Flere
land er observatører til avtalen, deriblant India og Malaysia.
Dersom flere nye land tiltrer avtalen, vil det bety en utvidelse av markedsadgangen
for norske leverandører.
Kilde: www.regjeringen.no november 2012

23. Ser ny tilnærming ved anbud
• Aktuelle land må forhåndsgodkjennes av Datatilsynet
• Tar lengre tid
• Mer arbeid
• Gir kontroll

25. • Takk for oppmerksomheten!
June 20, 201325