Om nettsky, cloud, Privacy Shield, personvern, Safe Harbor, juss og veien videre for offentlige og private som vil benytte skytjenester - på Software 2016
Noen av de viktigste spørsmålene du må stille deg selv er:
1. Har du oversikt over hvilke personopplysninger dere behandler? Vet du hva dere bruker opplysningene til?
2. Vet folk at dere har personopplysningene deres og forstår de hvordan dere bruker dem?
3. Behandler dere bare de personopplysningene dere trenger?
4. Oppbevarer dere personopplysningene bare så lenge det er nødvendig?
5. Sørger dere for personopplysningene er nøyaktige og oppdaterte?
6. Har dere god informasjons- og datasikkerhet?
7. Kan de registrerte utøve sine rettigheter?
8. Kjenner både du og deres ansatte til hvilket ansvar dere har?
Foredraget var en del av en større foredragsserie om varsling og misligheter. Det tar bla for seg rettslige konsekvenser for ansatte i privat og offentlig sektor.
Om nettsky, cloud, Privacy Shield, personvern, Safe Harbor, juss og veien videre for offentlige og private som vil benytte skytjenester - på Software 2016
Noen av de viktigste spørsmålene du må stille deg selv er:
1. Har du oversikt over hvilke personopplysninger dere behandler? Vet du hva dere bruker opplysningene til?
2. Vet folk at dere har personopplysningene deres og forstår de hvordan dere bruker dem?
3. Behandler dere bare de personopplysningene dere trenger?
4. Oppbevarer dere personopplysningene bare så lenge det er nødvendig?
5. Sørger dere for personopplysningene er nøyaktige og oppdaterte?
6. Har dere god informasjons- og datasikkerhet?
7. Kan de registrerte utøve sine rettigheter?
8. Kjenner både du og deres ansatte til hvilket ansvar dere har?
Foredraget var en del av en større foredragsserie om varsling og misligheter. Det tar bla for seg rettslige konsekvenser for ansatte i privat og offentlig sektor.
Informasjonssikkerhet og personvern i Oslo kommune, ledelsesansvar, teknologi...Eva Jarbekk
Foredrag for etatsledere i Oslo kommune om ledelsesansvar og informasjonssikkerhet, personvern, nettsky (cloud) og råd for IKT-anskaffelser i offentlig sektor, teknologijuss
Advokater og etikk, etikk i advokatbransjenEva Jarbekk
Foredrag om advokater og etikk ved Universitetet i Bergen
Om utfordringer og dilemmaer i bransjen.Praktiske råd til unge advokater i starten av sin karriere som advokat.
Forholdet offentleglova og personopplysningsloven.pptxEva Jarbekk
Foredraget ble holdt på juristenes fagdager og handler om forholdet mellom innsynsrett, utleveringsplikt og personvern. Offentlig sektor er ofte i en vanskelig situasjon der ulike hensyn må avveies.
Foredraget ble holdt på FØYENs IKT-rett og personvernforum; det gir en oversikt over hva den foreslåtte EU-forordningen om personvern vil medføre for norske virksomheter
Informasjonssikkerhet og personvern i Oslo kommune, ledelsesansvar, teknologi...Eva Jarbekk
Foredrag for etatsledere i Oslo kommune om ledelsesansvar og informasjonssikkerhet, personvern, nettsky (cloud) og råd for IKT-anskaffelser i offentlig sektor, teknologijuss
Advokater og etikk, etikk i advokatbransjenEva Jarbekk
Foredrag om advokater og etikk ved Universitetet i Bergen
Om utfordringer og dilemmaer i bransjen.Praktiske råd til unge advokater i starten av sin karriere som advokat.
Forholdet offentleglova og personopplysningsloven.pptxEva Jarbekk
Foredraget ble holdt på juristenes fagdager og handler om forholdet mellom innsynsrett, utleveringsplikt og personvern. Offentlig sektor er ofte i en vanskelig situasjon der ulike hensyn må avveies.
Foredraget ble holdt på FØYENs IKT-rett og personvernforum; det gir en oversikt over hva den foreslåtte EU-forordningen om personvern vil medføre for norske virksomheter
4. Fordi
June 20, 20134
Geografisk plassering av data kan utløse
•Prisbesparelser – det er fint, hvis det er håndterbart ifht konkurransekriterier
•Krav til samtykke fra Datatilsynet – tar tid og har ikke alltid garantert positivt utfall
•Informasjonsplikt overfor de som er registrert
Dette bør man ha tenkt på før utlysing av konkurranse
• Geografisk begrensning av datalokasjon?
• Lav prising grunnet bruk av ressurser i land man ikke vet om godkjennes, hva
gjør man da?
5. Virginia with
backup in
Washington
United States
Canada
Mexico
Puerto Rico
Dublin with backup in Amsterdam
Austria
Belgium
Czech Republic
Denmark
Finland
France
Germany
Greece
Hungary
Ireland
Italy
Israel
Netherlands
Norway
Poland
Portugal
Romania
Spain
Sweden
Switzerland
UK
Singapore with backup in Hong Kong
Australia
China
Hong Kong
India
Japan
Malaysia
Brazil with backup in
Chile
Brazil
Chile
Colombia
New Zealand
Singapore
South Korea
Taiwan
6. Trend
Nettskyer tvinger seg frem pga effektivitet og
kostnadsbesparelser
Kilde: IT i praksis – Rambøll - bruk av IT i de 500 største private og offentlige virksomhetene i Norge
June 20, 20136
Offentlig sektor Privat sektor
2010 11% 17%
2011 33% 38%
2012
9. Hovedregel i § 29
Utgangspunkt: POLs generelle krav til behandling av personopplysninger er oppfylt
(§§8, 9, 11);
• PO kan overføres til land innen EU og EØS-området
• PO kan overføres til land som Europakommisjonen har godkjent (liste)
• PO kan overføres til enkeltbedrifter i USA som har sluttet seg til Safe Harbor
Ikke konsesjonspliktig i seg selv, men overføringen må beskrives i
konsesjonssøknad eller melding knyttet til hovedformålet
June 20, 20139
10. Overføring til andre tredjeland og vsh i USA utenfor Safe Harbor
Må følge ”unntakene” i § 30
I utgangspunktet er overføring ikke tillatt med mindre unntak kan brukes
June 20, 201310
11. Overføring av PO til utlandet
§ 30 Unntak
Personopplysninger kan også overføres til stater som ikke sikrer en forsvarlig behandling av
opplysningene dersom
a)den registrerte har samtykket i overføringen,
b) det foreligger plikt til å overføre opplysningene etter folkerettslig avtale eller som følge av
medlemskap i internasjonal organisasjon,
c) overføringen er nødvendig for å oppfylle en avtale med den registrerte, eller for å utføre
gjøremål etter den registrertes ønske før en slik avtale inngås,
d) overføringen er nødvendig for å inngå eller oppfylle en avtale med en tredjeperson i den
registrertes interesse,
e)overføringen er nødvendig for å vareta den registrertes vitale interesser,
f) overføringen er nødvendig for å fastsette, gjøre gjeldende eller forsvare et rettskrav,
g)overføringen er nødvendig eller følger av lov for å beskytte en viktig samfunnsinteresse, eller
h)det er fastsatt i lov at det er adgang til å kreve opplysninger fra et offentlig register.
June 20, 201311
12. Overføring av PO til utlandet
§ 30 Unntak
Datatilsynet kan tillate overføring selv om vilkårene i første ledd ikke er oppfylt dersom den
behandlingsansvarlige gir tilstrekkelige garantier for vern av den registrertes rettigheter. Datatilsynet
kan sette vilkår for overføringen.
Typisk:
EUs standardavtaler
Binding Corporate Rules (BCR)
Processor Binding Rules (PBCR)
June 20, 201312
13. EUs standard avtaler/modellavtaler
To hovedtyper avtaler
• Overføring til databehandler i utlandet
• Overføring til en annen virksomhet som skal bruke opplysningene til eget formål
• 2 alternative kontrakter
• Forskjellige erstatningsbestemmelser
June 20, 201313
14. EUs standardavtaler
Presise bestemmelser om
•Hvilke typer opplysninger som kan overføres
•Hva opplysningene kan brukes til
•Hvor de skal lagres
•Hvor lenge
•De registrerte skal informeres ifbm sensitive PO
•Hvis man gjør endringer, f eks tar ut bestemmelsen om informasjon til de registrerte, vil avtalen
ikke bli godkjent
Hvis man gjør noe annet enn hva som er beskrevet, må ny avtale inngås og godkjennes
Mye arbeid, tar tid i DT
June 20, 201314
15.
16.
17.
18. Binding Corporate Rules - konsern
• Fra artikkel 29-gruppen
• Grunnlag for overføring når de gir tilstrekkelige garantier for den registrertes
personvern
• Praktisk der konsern opererer i og utenfor EU-/EØS-land
• 19000 overføringsavtaler eller en BCR?
• Veiledere på Artikkel 29-gruppens hjemmesider
• Videreføres i ny EU-forordning
• Diskusjoner EU/USA/Asia om gjensidig godkjenning av BCRJune 20, 201318
19. Binding Corporate Rules - forvaltning
• Processor Binding Corporate Rules
• Grunnlag for bruk av databehandler som lagrer opplysninger
utenfor EU/EØS
• Ingen godkjent pt
• Informasjonsplikt til de registrerte?
• Veiledere på Artikkel 29-gruppens hjemmesider
June 20, 201319
20. Begrense geografisk i anbud?
• Fristende ifht pol’s regler
• General Procurement Agreement
• GPA-avtalen
• plurilateral avtale, omfatter 41 av WTOs medlemmer
• Likebehandling og ikke-diskriminering for tjenester mellom
landene
• Kan ikke ekskludere GPA-medlemmer
21. GPA-avtalen
• Omfatter datatjenester
• Vanskelig å sette en begrensning i konkurransegrunnlaget om at
plattformen kun kan etableres i EU
• Selv om GPA-land må inkluderes, kan Datatilsynet sette
begrensninger på eventuelle overføringer
22. Det antas at inngåelsen av den reviderte GPA-avtalen vil forenkle
tiltredelsesforhandlingene med nye land. Det forhandles nå med en rekke WTO-
land, deriblant Kina, Ukraina og New Zealand om tiltredelse til GPA-avtalen. Flere
land er observatører til avtalen, deriblant India og Malaysia.
Dersom flere nye land tiltrer avtalen, vil det bety en utvidelse av markedsadgangen
for norske leverandører.
Kilde: www.regjeringen.no november 2012
23. Ser ny tilnærming ved anbud
• Aktuelle land må forhåndsgodkjennes av Datatilsynet
• Tar lengre tid
• Mer arbeid
• Gir kontroll