Embed Size (px)
DESCRIPTION
Myndigheter og personvernkrenkelser. Beskytter norsk og europeisk rett mot personvernkrenkelser fra myndigheter i tredjeland? Advokat Arve Føyen. Sosiale medier og skytjenester. Betydelig trafikkøkning hvert år, og endringer i trafikkmønstre. Personopplysningslovens virkeområde. - PowerPoint PPT Presentation
Citation preview
Myndigheter og personvernkrenkelser
Beskytter norsk og europeisk rett mot personvernkrenkelser fra myndigheter i tredjeland?
Advokat Arve Føyen
2
Sosiale medier og skytjenester
3
Betydelig trafikkøkning hvert år, og endringer i trafikkmønstre
4Copyright © 2013 Foyen All Rights Reserved.
Personopplysningslovens virkeområde• § 4 Geografisk virkeområde
– Virksomheter ”etablert i Norge”– Virksomheter ”etablert i stater utenfor EØS-området
behandlingsansvarlig benytter hjelpemidler i Norge”• Unntak: Ren overføring via Norge faller utenfor
• Egne regler om overføring fra Norge til utlandet– Innen EØS– Utenfor EØS
5Copyright © 2013 Foyen All Rights Reserved.
Overføring til utlandet - § 29 - Grunnleggende vilkår
• Personopplysninger kan bare overføres til stater som sikrer en forsvarlig behandling av opplysningene.
• Stater som har gjennomført direktiv 95/46/EF (EU’s Personvern-direktiv), oppfyller kravet til forsvarlig behandling.
6Copyright © 2013 Foyen All Rights Reserved.
Overføring til utlandet - § 29 - Grunnleggende vilkår
• I vurderingen av om behandlingen sikres på forsvarlig måte, skal det bl.a. legges vekt på
–opplysningenes art –den planlagte behandlingens formål og varighet –de rettsregler, regler for god forretningsskikk og sikkerhetstiltak som gjelder i vedkommende stat
• Det skal også legges vekt på om staten har tiltrådt Europarådets konvensjon 28. januar 1981 nr. 108 om personvern i forbindelse med elektronisk behandling av personopplysninger
7Copyright © 2013 Foyen All Rights Reserved.
POL § 30.1 - Unntak uten Datatilsynets samtykke
• Personopplysninger kan også overføres til stater som ikke sikrer en forsvarlig behandling av opplysningene («tredjeland») dersoma) den registrerte har samtykket i overføringen,b) det foreligger plikt til å overføre opplysningene etter
folkerettslig avtale eller som følge av medlemskap i internasjonal organisasjon,
c) overføringen er nødvendig for å oppfylle en avtale med den registrerte, eller for å utføre gjøremål etter den registrertes ønske før en slik avtale inngås,
8Copyright © 2013 Foyen All Rights Reserved.
POL § 30.1 - Unntak uten Datatilsynets samtykke (forts)
• Personopplysninger kan også overføres til stater som ikke sikrer en forsvarlig behandling av opplysningene («tredjeland») dersomd) overføringen er nødvendig for å inngå eller oppfylle en
avtale med en tredjeperson i den registrertes interesse,
e) overføringen er nødvendig for å vareta den registrertes vitale interesser,
f) overføringen er nødvendig for å fastsette, gjøre gjeldende eller forsvare et rettskrav,
g) overføringen er nødvendig eller følger av lov for å beskytte en viktig samfunnsinteresse, eller
h) det er fastsatt i lov at det er adgang til å kreve opplysninger fra et offentlig register
9Copyright © 2013 Foyen All Rights Reserved.
POL § 30.2 - Unntak med Datatilsynets samtykke
• Datatilsynet kan tillate overføring selv om vilkårene i første ledd ikke er oppfylt – Dersom den behandlingsansvarlige gir tilstrekkelige
garantier for vern av den registrertes rettigheter. – Datatilsynet kan sette vilkår for overføringen
• Fire «godkjente» former for garanti:1. EU’s «Standard contractual clauses» som skal sikre
behandling i overensstemmelse med reglene i hjemlandet til behandlingsansvarlige
2. Ad hoc avtaler – samme krav til garantier som ved EU’s avtaler
3. BCR og BSPR (konsernavtaler for internasjonale konsern)4. Til USA – hvis mottaker er Safe Harbor sertifisert
10Copyright © 2013 Foyen All Rights Reserved.
EU-direktivet - Kapittel VI Artikkel 13 Unntak og begrensninger, pkt 1
Medlemsstaterne kan træffe lovmæssige foranstaltninger med henblik på at begrænse rækkevidden af de forpligtelser og rettigheder, der er omhandlet i
• Artikel 6, stk. 1, (Grunnkravene til behandling)• Artikel 10, artikel 11, stk. 1 (opplysningsplikten) • Artikel 12 (innsynsretten)• Artikkel 21 (offentlig tilgjengelighet av opplysninger om hva
slags behandlinger som finner sted)
hvis en sådan begrænsning er en nødvendig foranstaltning af hensyn til:
11Copyright © 2013 Foyen All Rights Reserved.
EU-direktivet - Kapittel VI Artikkel 13 Unntak og begrensninger, pkt 1
a. Statens sikkerhedb. Forsvaretc. den offentlige sikkerhedd. Forebyggelse, efterforskning, afsløring og retsforfølgning i
straffesager eller i forbindelse med brud på etiske regler for lovregulerede erhverv
e. Væsentlige økonomiske eller finansielle interesser hos en medlemsstat eller Den Europæiske Union, herunder valuta-, budget- og skatteanliggender
f. En kontrol-, tilsyns- eller reguleringsopgave, selv af midlertidig karakter, der er et led i den offentlige myndighedsudøvelse på de i litra c), d) og e) nævnte områder
g. Beskyttelsen af den registreredes interesser eller andres rettigheder og frihedsrettigheder.
12
13Copyright © 2013 Foyen All Rights Reserved.
EU Standard contractual clauses• Dataimportøren Aksepterer og garanterer (avtalen § 5
b)) at–han ikke har grund til at tro, at han ifølge den lovgivning,
han er underlagt, er forhindret i at følge de instrukser, han har modtaget fra dataeksportøren, og overholde sine forpligtelser i henhold til kontrakten, og
–han, såfremt denne lovgivning ændres således, at det sandsynligvis vil få en væsentlig negativ indvirkning på de garantier og forpligtelser, der opnås ved hjælp af standardbestemmelserne, straks vil give dataeksportøren meddelelse om ændringen, så snart han får kendskab hertil,
–hvorefter dataeksportøren i så fald har ret til at suspendere dataoverførslen og/eller ophæve kontrakten
14Copyright © 2013 Foyen All Rights Reserved.
EU Standard contractual clauses• Dataimportøren Aksepterer og garanterer
(Avtalen § 5 d) ) at han straks vil give dataeksportøren meddelelse om:
i. retshåndhævende myndigheders retligt bindende anmodninger om videregivelse af personoplysninger, medmindre dette på anden måde er forbudt, som for eksempel ved et forbud ifølge strafferetten med henblik på at sikre fortrolighed i efterforskningssager
ii. enhver utilsigtet eller uautoriseret adgang og iii. anmodninger, der modtages direkte fra de
registrerede, og som han ikke har besvaret, medmindre han på anden måde er bemyndiget dertil
15Copyright © 2013 Foyen All Rights Reserved.
Safe Harbor – begrensninger i plikten til å etterleve
Overholdelsen af disse principper kan være begrænset (Bilag 1 avsnitt 4)a. Til et niveau, der er tilstrækkeligt for at opfylde
kravene med hensyn til statens sikkerhed, almenvellet eller opretholdelsen af lov og orden,
b. Af love, administrative bestemmelser eller retspraksis, der medfører modstridende forpligtelser osv
c. I det omfang, direktivet eller medlemsstaternes lovgivning tillader undtagelser eller dispensationer, såfremt sådanne undtagelser eller dispensationer også finder anvendelse i sammenlignelig kontekst.
16Copyright © 2013 Foyen All Rights Reserved.
Safe Harbor – begrensninger i plikten til å etterleve
I overensstemmelse med det overordnede mål om at fremme beskyttelsen af privatlivets fred • Bør foretagenderne bestræbe sig på at gennemføre
disse principper på fuldstændig og gennemskuelig vis
• Hvilket omfatter, at de i deres program til beskyttelse af privatlivets fred angiver, på hvilke punkter eventuelle undtagelser fra principperne i henhold til ovenstående punkt b) finder generel anvendelse
Når principperne og/eller den amerikanske lovgivning giver mulighed derfor, forventes foretagenderne af samme årsag at vælge et højere beskyttelsesniveau.
17Copyright © 2013 Foyen All Rights Reserved.
Komparativ analyse av ti jurisdiksjoner vedr CloudHogan Lovells White Paper – 18. juli 2012
• Myndigheters tilgang til opplysninger - inklusive tilgang ut over egne landegrenser - finnes i alle jurisdiksjoner
• Selv europeiske jurisdiksjoner med strengt personvernregime har anti-terroristlovgivning som tillater «hastetilgang» for myndighetene til Cloud (og andre) lagrede data
• Ifølge studien er det en misoppfatning at data kan sikres ved at de legges i «trygge» jurisdiksjoner, f. eks avgrenset til Europa
18Copyright © 2013 Foyen All Rights Reserved.
Komparativ analyse av ti jurisdiksjoner vedr CloudHogan Lovells White Paper – 18. juli 2012
• Mutual Legal Assistance Treaties (“MLATs”), gjør at såkalt «trygge» jurisdiksjoner i mindre grad kan sikre data
• F. eks MLAT mellom USA og Tyskland effektiv i 2009 gjør at myndighetene i hvert av landene under gitte omstendigheter kan kreve og motta informasjon som befinner seg på det andre landets territorium (inklusive informasjon som befinner seg hos tredjepart – f. eks cloudleverandør)
• Det forhold at en virksomhet lagrer sine data i andre jurisdiksjoner enn der de selv hører hjemme, beskytter i begrenset grad mot myndighetenes innsyn i opplysningene
19Copyright © 2013 Foyen All Rights Reserved.
Så kom Snowden og fortalte om en annen virkelighet
Konklusjonen må bli • Norsk og Europeisk rett beskytter ikke mot
personvernkrenkelser fra myndigheter i eget eller i andre land - hverken innenfor eller utenfor Europa
• Pass på –hva du kommuniserer og med hvem –hva du legger ut på sosiale media–hvilke tekniske løsninger du benytter
www.foyen.no / www.foyen.se
Advokat Arve FøyenFØYEN Advokatfirma DA
Mobil: +47 918 199 62E-post: [email protected]
