Lovlig bruk av opplysninger i nettskyen – oglitt om nykommeren «BCR»

HR-Norges arbeidsrettskonferanse 2013

Advokat Eva I. E Jarbekk

Dagens tema

• Bruk av HR-opplysninger i nettsky

• Juridiske utfordringer og hovedregler

• Binding corporate rules - BCR

April 13, 20232

Eva

• Advokat og assosiert partner i Kluge – IKT og arbeidsrett

• Partner i FAKTUM NoR AS – tverrfaglig informasjonssikkerhet, granskning og personvern

• Leder av Personvernnemnda 2009-2017 – klageorgan for Datatilsynet

• Advokat for Spesialenheten for politisaker

• Leder advokatforeningens lovutvalg for ikt- og personvern

April 13, 20233

Hva er HR-opplysninger?• Personopplysninger

• Ikke om selskaper, men individer• Enkeltmannsselskaper i en gråsone• BÅDE sensitive og ikke-sensitive opplysninger

• Indirekte identifikasjon

• «Anonyme opplysninger» - et presist begrep og en trend i begge retninger• «tilstrekkelig anonym»• Aksept for at indirekte identifikasjon ofte kan gjøres

April 13, 20234

Hva er HR-opplysninger?

• Personopplysningsloven gjelder – alltid

• «Behandling» av personopplysninger• Innsamling, registrering, sammenstilling, lagring og utlevering eller en kombinasjon • Dette omfatter definitivt lagring i cloud – nettskyen er bare et nytt medium

• Ledelsen er ansvarlig

• Ansvar forsvinner ikke ved oursourcing e.l.

April 13, 20235

HR-opplysninger i nettskyen

• Hva er en nettsky? Eller en cloud-løsning?

• Informasjon som finnes PÅ BAKKEN, men er tilgjengelig fra mange steder via Internett

April 13, 20236

Eksempler på nettskyer

• Linkedin, Facebook

• Google Apps – kalender, epost, dokumenter, etc

• Microsoft 365 – alt MS tilbyr – via nett

April 13, 20237

Praktisk?• Ja• Både for offentlig og for private virksomheter

• Hvorfor?

• Kostnadsbesparende, tidsbesparende, bedre (?) sikkerhet, bedre løsninger• God back-up (hos store leverandører) – ofte reservelagring i annet land/kontinent av

sikkerhetsårsaker• Leverandør disponerer hele skyen og ”flytter data rundt” etter behov – overføring av

personopplysninger

April 13, 20238

Nettskyer tvinger seg frem pga effektivitet og kostnadsbesparelser

Kilde: IT i praksis – Rambøll - bruk av IT i de 500 største private og offentlige virksomhetene i Norge

April 13, 20239

Offentlig sektor Privat sektor

2010 11% 17%

2011 33% 38%

2012

Ulike definisjoner basert på type tjeneste• IaaS - Infrastuktur as a Service – leverandør tilbyr ”enklere” infrastruktur - typisk

lagring og servere

• PaaS – Platform as a Service – typisk lagring, servere og databaser

• Software as a Service – Leverandør tilbyr applikasjoner – mer komplekst og leverandøren har mer kontroll – typisk lagring, servere, databaser, sikkerhet og applikasjoner (programmer)

• Private skyer, offentlige skyer, hybrider, etc…..

April 13, 202310

Virginia with backup in WashingtonUnited StatesCanadaMexico Puerto Rico

Dublin with backup in Amsterdam

Austria  Belgium Czech Republic Denmark  Finland  France  Germany Greece Hungary Ireland Italy

Israel Netherlands Norway  Poland Portugal  Romania Spain  Sweden  Switzerland  UK

Singapore with backup in Hong Kong

Australia China Hong Kong India Japan Malaysia

Brazil with backup in Chile

Brazil ChileColombia

New Zealand Singapore South Korea Taiwan

Behandlingsansvarlig eller databehandler?• Hvem er hva ved bruk av cloud?

• Behandlingsansvarlig har omfattende plikter – det har ikke databehandler

• Behandlingsansvarlig sikrer sine forpliktelser via avtaler med databehandler – databehandleravtaler

• I utgangspunktet er leverandør av nettskyer en databehandler

April 13, 202312

Er avtale med leverandør alltid tilstrekkelig?Er avtale med leverandøren alltid tilstrekkelig til å sikre at kravene om informasjonssikkerhet m.m. etterleves?

•Odense kommune - Google Apps in schools

•personopplysningsforskriften:• Sikkerhetsrevisjon av bruk av informasjonssystemet skal gjennomføres jevnlig. Sikkerhetsrevisjon skal

omfatte vurdering av organisering, sikkerhetstiltak og bruk av kommunikasjonspartner og leverandører.”

Behandlingsansvarlig MÅ HA EN GRAD AV KONTROLL

April 13, 202313

Overføring til utland – vit hvor data er

Google til Odense kommune:

«Google applications run in a multi-tenant, distributed environment. Rather than segregating each customer's data onto a single machine or set of machines, Google Apps data from all Google customers (consumers, business, and even Google's own data) is distributed amongst a shared infrastructure composed of Google’s many homogeneous machines and located across Google's many data centers.»

Dette ble ikke akseptert av dansk DT

Dansk DT: avtalen ikke nok – kommunen må kunne etterprøve/forvisse seg om at sikkerheten er god nok

..litt om Narvik kommune og så - hva er reglene?

April 13, 202314

Historien om Narvik

• Google som leverandør av e-post, kalender, mm

• Kommunen har gjennom Lotus Notes en integrasjon mot internsakssystemet Websak fra Acos

April 13, 202315

Historien om Narvik – hva var problemet

• Databehandleravtale?• Kontrollmulighet?• Exit-mulighet, håndtering av data?• Hvordan bruker Google selv dataene – selges de?• Hvem har tilgang?• Kryptering, sikring?• Hvor lenge oppbevares back-up• Segregeres data?

• Overføring av personopplysninger til utlandet

• Innsynsbegjæring fra tredjeland – Patriot Act fra USAApril 13, 202316

Regler om overføring av personopplysninger til utlandet

April 13, 202317

Hovedregel i § 29

Utgangspunkt: POLs generelle krav til behandling av personopplysninger er oppfylt (§§8, 9, 11);

• PO kan overføres til land innen EU og EØS-området• PO kan overføres til land som Europakommisjonen har godkjent (liste)• PO kan overføres til enkeltbedrifter i USA som har sluttet seg til Safe Harbor

Ikke konsesjonspliktig i seg selv, men overføringen må beskrives i konsesjonssøknad eller melding knyttet til hovedformålet

April 13, 202318

Overføring til andre tredjeland og vsh i USA utenfor Safe Harbor

Må følge ”unntakene” i § 30

I utgangspunktet er overføring ikke tillatt med mindre unntak kan brukes

April 13, 202319

Overføring av PO til utlandet§ 30 UnntakPersonopplysninger kan også overføres til stater som ikke sikrer en forsvarlig behandling av

opplysningene dersom a)den registrerte har samtykket i overføringen, b) det foreligger plikt til å overføre opplysningene etter folkerettslig avtale eller som følge av

medlemskap i internasjonal organisasjon, c) overføringen er nødvendig for å oppfylle en avtale med den registrerte, eller for å utføre

gjøremål etter den registrertes ønske før en slik avtale inngås, d) overføringen er nødvendig for å inngå eller oppfylle en avtale med en tredjeperson i den

registrertes interesse, e)overføringen er nødvendig for å vareta den registrertes vitale interesser, f) overføringen er nødvendig for å fastsette, gjøre gjeldende eller forsvare et rettskrav, g)overføringen er nødvendig eller følger av lov for å beskytte en viktig samfunnsinteresse, eller h)det er fastsatt i lov at det er adgang til å kreve opplysninger fra et offentlig register.

April 13, 202320

Overføring av PO til utlandet§ 30 Unntak

Datatilsynet kan tillate overføring selv om vilkårene i første ledd ikke er oppfylt dersom den behandlingsansvarlige gir tilstrekkelige garantier for vern av den registrertes rettigheter. Datatilsynet kan sette vilkår for overføringen.

Typisk: EUs standardavtalerBinding Corporate Rules (BCR)Processor Binding Rules (PBCR)

April 13, 202321

Artikkel 29-gruppens hjemler for overføring til utlandet

Utenfor EU/Safe Harbour:

•Modellavtaler – standardavtaler•BCR

April 13, 202322

EUs standard avtaler/modellavtaler

To hovedtyper avtaler

• Overføring til databehandler i utlandet

• Overføring til en annen virksomhet som skal bruke opplysningene til eget formål• 2 alternative kontrakter• Forskjellige erstatningsbestemmelser

April 13, 202323

EUs standardavtalerPresise bestemmelser om

•Hvilke typer opplysninger som kan overføres•Hva opplysningene kan brukes til•Hvor de skal lagres•Hvor lenge•De registrerte skal informeres ifbm sensitive PO

•Hvis man gjør endringer, f eks tar ut bestemmelsen om informasjon til de registrerte, vil avtalen ikke bli godkjent

Hvis man gjør noe annet enn hva som er beskrevet, må ny avtale inngås og godkjennes

Mye arbeid, tar tid i DT

April 13, 202324

Binding Corporate Rules - konsern• Fra artikkel 29-gruppen

• Grunnlag for overføring når de gir tilstrekkelige garantier for den registrertes personvern

• Praktisk der konsern opererer i og utenfor EU-/EØS-land• «19000 overføringsavtaler eller en BCR?»

• Veiledere på Artikkel 29-gruppens hjemmesider

• Videreføres i ny EU-forordning

• Diskusjoner EU/USA/Asia om gjensidig godkjenning av BCR

April 13, 202325

Binding Corporate Rules - forvaltning

• Processor Binding Corporate Rules - PBCR

• Grunnlag for bruk av databehandler som lagrer opplysninger utenfor EU/EØS

• Ingen godkjent pt

• Informasjonsplikt til de registrerte?

• Veiledere på Artikkel 29-gruppens hjemmesider

April 13, 202326

Tilbake til Narvik

April 13, 202327

Historien om Narvik – Narviks svar til DT

• Klart om hvilke opplysninger som behandles – ikke sensitive• Solid ROS-analyse• Databehandler – ekstensiv,• Hvor lagres data (EU og USA – Safe Harbour)• Sikkerhet: back-up, googles tilgang, sikkerhetsrevisjon, segmentering., sletting,

logging etc

Datatilsynet: OK • Hvis Google slår sammen data med andre forretningsområder – f eks gmail –

mulig annen konklusjonApril 13, 202328

Huskeliste for nettskyer

April 13, 202329

Huskeliste for lovlig bruk av nettsky

Ordentlig ROS-analyse og databehandleravtale, pol § 15

Databehandleravtale må angi:

•Databehandlers rådighet over PO - finalitetsprinsippet

•Databehandlers plikt til å sørge for informasjonssikkerhet

April 13, 202330

Huskeliste for lovlig bruk av nettsky

April 13, 202331

• Konkrete krav til informasjonssikkerhet; fysisk og teknisk, logging

• Tilgangskontroll

• Segmentering

• Revisjonsmulighet/transparens

• Bruk av underleverandører

• Exit-håndtering

• Avvikshåndtering

• Håndtering av endringer; Varslingsplikt? Samtykke?

• Garantier for sikkerhet til data

• Sletteregler

• Lokasjon av data

• Lovlig overføringshjemmel

April 13, 202332

Kommisjonens oppfatning• Ønsker økt bruk av nettskyer• Sikkerhet og personvern er et problem• Liten forhandlingsmakt selv for store brukere• «Take it or leave it» – kontrakter er et utbredt problem

EU planlegger:• Standariserte vilkår• Sertifiseringsordning• Samarbeid for offentlig sektor

• PBCR er viktig

April 13, 202333

Lokasjonsbestemmelser i anbudskontrakter

April 13, 202334

Dette bør man ha tenkt på før utlysing av konkurranse

• Geografisk begrensning av datalokasjon?• Lav prising grunnet bruk av ressurser i land man ikke vet om

godkjennes, hva gjør man da?

Begrense geografisk i anbud?

• Fristende ifht pol’s regler

• General Procurement Agreement • GPA-avtalen• plurilateral avtale, omfatter 41 av WTOs medlemmer• Likebehandling og ikke-diskriminering for tjenester mellom landene• Kan ikke ekskludere GPA-medlemmer

GPA-avtalen

• Omfatter datatjenester

• Vanskelig å sette en begrensning i konkurransegrunnlaget om at plattformen kun kan etableres i EU

• Selv om GPA-land må inkluderes, kan Datatilsynet sette begrensninger på eventuelle overføringer

Ser ny tilnærming ved anbud – relevant også ved nettskyer

• Aktuelle land må forhåndsgodkjennes av Datatilsynet

• Tar lengre tid

• Mer arbeid

• Gir kontroll

Oppsummering – slik reglene er nå

• Kunden har ansvar for å overholde reglene, ikke cloud-leverandøren

• Kunden må velge en leverandør som har god sikkerhet, tillater revisjoner, klar lokasjon av data for å sikre hjemmel for overføring

• Kunden må sikre at avtalen med leverandøren oppfyller lovkrav

• Noen leverandører kan ha akseptable avtaler, men det må vurderes konkret

April 13, 202339

• Takk for oppmerksomheten!

April 13, 202340