Bindande företagsinterna regler (BFR/BCR)

Transkript

1 Bindande företagsinterna regler (BFR/BCR) ett smidigare sätt att överföra personuppgifter till tredje land av Thomas Lindqvist och Bojana Saletic 1. Generellt förbud och undantag Överföring av personuppgifter till ett land utanför EESområdet, s.k. tredje land, är generellt sett förbjuden. D etta framgår av Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för en skilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter («Dataskyddsdirektivet») artikel 25 och av den svenska personuppgiftslagen (1998:204) («PUL») 33. Förbudet gäller både för personuppgifter som är under behandling och personuppgifter som är avsedda att behandlas i tredje land. Förbudet gäller dock inte och överföringen får ske om landet i fråga har en adekvat skyddsnivå för personuppgifter.1 Kommissionen har beslutat att adekvat skyddsnivå föreligger i vissa länder, bl.a. Andorra, Argentina och Schweiz.2 Adekvat skyddsnivå anses även föreligga och ett företag får överföra personuppgifter till USA om mottagaren har anslutit sig till de så kallade Safe Harbor-prin ciperna. Överföring av personuppgifter får även ske om det finns tillräckliga garantier för att privatliv och enskilda personers grundläggande fri- och rättigheter skyddas och dessa garantier framgår av lämpliga avtalsklausuler.3 Kommissionen har tagit fram standardavtalsklausuler4 som, när undertecknade av avsändaren och mottagaren inför varje överföring, uppfyller detta krav på tillräckliga garantier Undantaget för överföring till tredje land inom internationella koncerner Ovan nämnda överföringsmetoder lämpar sig dock inte alltid väl för internationella koncerner som överför person uppgifter till tredje land i stor omfattning. Detta har lett till utveckling av ytterligare ett undantag från förbudet att överföra personuppgifter - s.k. bindande företags interna regler («BFR»)5. Som redan nämnts får överföring av personuppgifter ske om det föreligger tillräckliga garantier för att privatliv och enskilda personers grund läggande fri- och rättigheter skyddas. Datainspektionen har fått bemyndigande från regeringen att tillåta över föring till tredje land om det finns tillräckliga garantier till skydd för de registrerades rättigheter.6 Datainspektionen kan således besluta att tillåta överföring av personuppgift er inom en och samma koncern om koncernen visar att den har BFR som uppfyller krav på tillräckliga garantier till skydd för de registrerades rättigheter. Detta gäller även för övriga EU-ländernas dataskyddsmyndigheter. BFR kan därmed bli ett bra alternativ för välstrukturerade multi nationella företag där överföring av personuppgifter sker mellan de personuppgiftsansvariga7 inom en och samma koncern. BFR kan också vara ett bra alternativ för företag som vill outsourca behandling av personuppgifter till ett land utanför EES-området och kan för detta ändamål använda sig av BFR för personuppgiftsbiträde. Nedan följer en beskrivning av BFR:s innehåll, ansöknings processen samt deras för- och nackdelar.

2 2.1. Innehållet i BFR och ansökan Utformningen av BFR kommer i stort sett att bero på koncernens struktur och den behandling som avses. Även om BFR kommer att skilja sig åt i praktiken bör vissa punkter alltid finnas med. 8 Ett företag som ansöker om godkännande av BFR ska ange kontaktinformation, information avseende koncernen och en lista över bolag inom koncernen till vilka person uppgifter överförs. Ansökan ska även innehålla information om naturen och omfattningen av överföringar BFR ska vara bindande För att BFR ska utgöra en adekvat skyddsåtgärd för behandling av personuppgifter måste de vara bindande både internt och externt. Därför bör BFR innehålla en klar skyldig het för alla medlemmar och för alla anställda i koncernen att följa reglerna. Företaget måste i ansökan förklara hur BFR kommer att följas i praktiken t.ex. med hjälp av företagsledningens engagemang och avdelningar för regelefterlevnad som kan tillämpa disciplinära påföljder. Dessutom bör alla anställda få information och utbildning om innehållet i BFR. Företaget bör även ha interna och externa revisorer vars slutsatser vidarebefordras till tillsynsmyndigheten Förhållande till tillsynsmyndigheten Alla som omfattas av BFR måste samarbeta både internt och externt med den lokala myndigheten som är ansvarig för tillsyn av personuppgiftsfrågor. Tillsynsmyndigheten och alla som berörs av BFR måste också hållas underrättade om varje väsentlig förändring i BFR varför BFR bör innehålla processer för sådant informationsutbyte. Det sökande företaget bör även ange vilka åtgärder som utförts i syfte att skydda personuppgifter bl.a. vad gäller transparens, ändamålsbegränsning, säkerhet och datasubjektens möjlighet att ändra uppgifter eller återkalla sitt samtycke till behandlingen. Varje avvikelse från godkända BFR kan leda till att tillsynsmyndigheten återkallar sitt godkännande. I ett sådant fall får överföring till tredje land ske först när personuppgiftsansvarig på annat sätt, t.ex. genom standardavtalsklausuler, visat att det föreligger en adekvat skyddsnivå Den registrerades rättigheter BFR ska vara lättillgängliga för de registrerade och tillförsäkra dem vissa rättigheter. 9 Även information om hur eventuella klagomål från de registrerade behandlas måste finnas lättillgänglig. Den registrerade ska kunna vända sig till tillsynsmyndigheten eller till den domstol inom EU som har jurisdiktion över företagets huvudkontor, över den organisation inom koncernen som är ansvarig för behandling av personuppgifter eller över den organisation inom koncernen som överför flest personuppgifter till tredje land. Ett företag som överför uppgifter från EES-området till tredje land ska enligt BFR även bära ansvar för alla ersättnings anspråk som följer av att företaget, till vilket personuppgifter överförts, brustit i sin skyldighet att följa BFR. Företaget som har åtagit sig ersättningsansvaret måste i ansökan intyga att det har tillgångar att täcka ett eventuellt framtida ersättningsanspråk. När den registrerade kan visa att den lidit skada som sannolikt är en följd av att företaget i tredje land inte följt BFR, kan företaget som har tagit på sig ersättningsansvar undgå ersättningsskyldighet endast om det visar att företaget som behandlade uppgifter utanför EES-området inte hade brustit i sin skyldighet att följa BFR eller att företagets agerande inte låg till grund för skadan i fråga BFR för personuppgiftsbiträde Internationella företag vill ofta outsourca behandling av personuppgifter till företag som befinner sig i ett tredje land. I ett sådant fall kan man använda sig av BFR för person uppgiftsbiträde. Personuppgiftsansvarig d.v.s. företaget som överför uppgifter förblir dock ansvarigt för att adekvat skyddsnivå föreligger och att uppgifterna behandlas i enlighet med de bestämda ändamålen och instruktionerna. Personuppgiftsbiträde d.v.s. företaget som behandlar uppgifterna måste följa sin skyldighet enligt personuppgiftsbiträdesavtalet och BFR för personuppgiftsbiträde. Informationen avseende BFR för personuppgiftsansvarig gäller även för BFR för personuppgiftsbiträde men med några tillägg. BFR för personuppgiftsansvarig bör läggas till som en bilaga till personuppgiftsbiträdesavtal. Avtalet och BFR blir då bindande mellan parterna och personuppgiftsbiträde måste åta sig att samarbeta med den myndighet som har tillsyn över den personuppgiftsansvarige Överföring av personuppgifter till underbiträde Personuppgiftsbiträde kan vidarebefordra personuppgifter för behandling inom sin koncern under förutsättning att det sker transparent och att personuppgiftsansvarig skriftligen har godkänt detta. Godkännandet kan antingen vara generellt eller för varje underbiträde. Om godkännandet är generellt och personuppgiftsbiträde avser göra några ändringar som rör underbiträde ska den personuppgiftsansvarige i god tid få information om detta och ha möjlighet att invända mot ändringarna. 11

3 Om underbiträdet däremot befinner sig utanför koncernen får vidarebefordran av personuppgifter ske endast efter ett skriftligt godkännande av personuppgiftsansvarige. Personuppgiftsbiträdet måste då tillse att underbiträdet har adekvata skyddsåtgärder genom att även underbiträde blir bunden av BFR för personuppgiftsbiträde och alla skyldigheter som personuppgiftsbiträde har enligt personuppgiftsbiträdesavtalet Den registrerades rättigheter Den personuppgiftsansvarige ska informera den registrerade om att det finns ett personuppgiftsbiträde utanför EES-området samt när känsliga uppgifter överförs till ett tredje land. Den registrerade ska också ha tillgång till uppgifter om sekretess- och säkerhetsåtgärder, instruktioner för behandling, eventuella underbiträden, samt efter förfrågan även tillgång till personuppgiftsbiträdesavtalet och BFR för personuppgiftsbiträde. BFR för personuppgiftsbiträde bör innehålla en bestämmelse som möjliggör för den registrerade att framställa anspråk 10 både mot personuppgiftsansvarig och mot dess biträde. Personuppgiftsbiträdet bör utan dröjsmål vidare befordra sådan information om klagomål till personuppgiftsansvarig Ansökningsprocess och sammarbete mellan olika myndigheter Ett företag som önskar överföra personuppgifter med hjälp av BRF ska börja processen med att vända sig till den myndighet företaget anser ska vara huvudmyndighet. I Sverige är det Datainspektionen. Som huvudregel ska huvudmyndigheten befinna sig i samma land som koncern ens huvudkontor men det finns flera alternativ när man ska utse en huvudmyndighet. Om koncernen inte har ett huvudkontor inom EU kan huvudmyndigheten vara belägen i samma land som den enhet som är ansvarig för behandling av personuppgifter. Vidare kan man beakta var de flesta beslut avseende ändamål med behandling av person uppgifter fattas och från vilket EU-land flest överföringar till tredje länder äger rum. Huvudmyndigheten kan även vara belägen i samma land som den enhet som bäst kan tillse att BFR efterlevs ur management och administrativt perspektiv. Företaget bör inkomma med ansökningsblanketten WP 133 del I för vanliga BFR respektive ansökningsblanketten WP 195 del I för BFR för person uppgiftsbiträde. Om huvudmyndigheten håller med företagets förslag bör den kommunicera med de övriga myndigheterna för att erhålla deras kommentarer. Om huvud myndigheten inte håller med förslaget bör den även i detta fall underrätta de övriga myndigheterna och hjälpa till i processen att utse en ny huvudmyndighet. Sådant beslut bör tas inom en månad. 11 När huvudmyndigheten är utsedd tar den kontakt med företaget och börjar utarbeta ett konsoliderat utkast till ansökan. Utöver ansökningsblanketten bör företaget även skicka en kopia av BFR för personuppgiftsansvarig respektive personuppgiftsbiträde, en lista över enheter som är bundna av BFR och alla andra dokument som visar att koncernen följer BFR 12. Om företaget önskar att någon del av ansökan ska vara sekretessbelagd bör det anges. Såsom avseende vanliga ansökningar till Datainspektionen görs en sekretessbedömning i varje enskilt ärende. Huvudmyndigheten hjälper företaget utarbeta ett konsoliderat utkast till ansökan. När det konsoliderade utkastet är klart inleder huvudmyndigheten ett samarbete med de övriga myndigheterna som har upp till en månad på sig att kommentera ansökan. Ett konsoliderat utkast av ansökan ska göras på det landets språk där huvudmyndigheten är belägen och översättas till engelska. När BFR är godkännda måste de översättas till språk av alla EU-länder vars tillsynsmyndigheter omfattas av BFR. När BFR är godkända innebär detta att adekvat skyddsnivå för behandling av personuppgifter föreligger. När före taget vill överföra personuppgifter ska den ansöka om tillstånd för själva överföringen hos tillsynsmyndigheten och hänvisa till BFR som en garanti för att adekvat skyddsnivå för behandling av personuppgifter föreligger. I Sverige innebär det att när BFR är godkända kan företaget lämna in en ansökan till Datainspektionen som inom ca en månad fattar beslut om överföringen Ömsesidigt erkännande Vissa länder har anslutit sig till ett system med ömsesidigt erkännande som innebär att om huvudmyndigheten i ett medlemsland godkänner BFR, kommer myndigheter i de övriga länderna att godkänna BFR utan att göra några egna bedömningar i ärendet. Detta bidrar till att ansökningsprocessen blir snabb och smidig. I dagsläget är 21 länder 13 anslutna till systemet. Sverige har dock inte anslutit sig till systemet vilket innebär att varje gång Datainspektionen får information om BFR från en myndighet i ett annat land måste Datainspektionen enligt PUL göra en egen bedömning om BFR uppfyller de uppställda kraven. Då samma direktiv reglerar personuppgiftsbehandling i hela EU kan man i praktiken utgå ifrån att i övervägande antal fall kommer beslutet i Sverige att vara detsamma som huvudmyndighetens beslut. Man kan dock inte bortse ifrån att denna lösning leder till en fördröjning i ansökningsprocessen. Fördröjningen kan också ske när Datainspektionen är huvud myndighet och myndigheter i de övriga länderna ska göra en egen prövning till följd av att Sverige inte anslutit sig till systemet med ömsesidigt erkännande. 12

4 En önskad framtida utveckling som skulle bidra till en smidigare användning vore att regleringen i PUL möjliggjorde för Sverige att ansluta sig till systemet med ömsesidigt erkännande. Det skulle både underlätta och påskynda processen BFR och dess framtida utveckling BFR-frågan har även varit föremål för lagstiftningsarbete på EU-nivå genom behandling i EU-kommissionens förslag till en ny dataskyddsförordning. EU-kommissionen föreslår att BFR ska införas i lagtexten och därigenom bli en självständig lagstadgad grund för överföring av personuppgifter till tredje land. 14 Det skulle innebära en förändring jämfört med dagens system eftersom idag är Datainspektionen bemyndigad av regeringen att besluta om det föreligger adekvat skyddsnivå för behandling av personuppgifter. Datainspektionen kan fatta ett sådant beslut med hjälp av BFR och tillåta överföring av personuppgifter till tredje land. Enligt förslaget kommer även EU-kommissionen att ha befogenhet att anta delegerande akter i syfte att ytter ligare precisera kraven för BFR och deras godkännande. Datainspektionen har dock ställt sig någorlunda kritiskt mot delegeringsförslaget eftersom det enligt Datainspektionens mening kan leda till rättsosäkerhet eftersom det blir svårare att överblicka konsekvenser av kommissionens delegerande akter. 15 Även Europaparlamentets utskott för medborgerliga fri- och rättigheter samt rättsliga och inrikesfrågor (LIBEutskott) har behandlat BFR-frågan. I sitt kompromissförslag föreslår utskottet att i det fall BFR avser anställdas personuppgifter ska representanter för arbetstagarna informeras om och vara engagerade i BFR:s utformning. Även om lagstiftningsarbetet inte är alltför preciserat och förslaget kan komma att ändras, är det värt att följa dess utveckling och se hur det kommer att påverka användning av BFR i framtiden Fördelar och eventuella begränsningar med BFR i Sverige Speciella frågeställningar uppkommer när en myndighet vill överföra personuppgifter till en annan aktör. Myndigheter i Sverige är bundna av den svenska offentlighetsoch sekretesslagen (2009:400) («OSL») och kan i enlighet med den endast lämna ut information som inte omfattas av sekretess efter en sekretessprövning. Om en myndighet anlitar ett personuppgiftsbiträde gäller sekretessen för biträdet endast om biträdet befinner sig i Sverige. Om en myndighet överför sekretessbelagda personuppgifter till ett biträde i utlandet skulle myndigheten kunna anses ha lämnat ut uppgifterna utan att någon sekretessprövning skett före utlämnandet. Det finns starka argument att påstå att sådant agerande inte är förenligt med OSL, speciellt om uppgifterna inte är krypterade. BFR ter sig därför som ett mindre lämpligt alternativ för myndigheter och behandling av sek retessbelagd information. Den största begränsningen med BFR är att de endast avser överföringar till tredje land inom en och samma koncern. BFR kan därmed vara ett effektivt, snabbt och smidigt sätt att överföra personuppgifter till tredje land inom en koncern, framförallt för företag inom den finansiella sektorn, läkemedels- och telekomsektorn som inom sina verksamheter har ett stort antal sådana överföringar. Samtidigt går det inte att använda BFR när personuppgifter överförs till en aktör utanför koncernen, utan då behöver man visa att adekvat skyddsnivå föreligger på något annat sätt. Det finns andra lösningar för överföring av personuppgifter till tredje land men de har vissa begräsningar. T.ex. måste en standardavtalsklausul undertecknas för varje överföring och ibland behöver den uppdateras i fall av ändringar i företagsstrukturen. Detta kan leda till att det ibland behövs tusentals standardavtalsklausuler för att täcka alla överföringar inom koncernen. BFR kan täcka ett avsevärt antal överföringar inom en koncern och framstår därmed som en bättre lösning jämfört med standardavtalsklausuler. Vid överföring till USA används ofta Safe Harbourprinciperna. Även där finns det dock en begränsning eftersom det inte är alla företag som får ansluta sig till Safe Harbour-principerna, utan endast företag som är under tillsyn av Federal Trade Commission eller Deptartment of Transportation. I avsaknad av BFR krävs det ett avtal för varje överföring till USA inom en sådan koncern. Därför blir BFR ett lämpligt och effektivt verktyg för överföringar inom den finansiella sektorn och telekomsektorn. Hittills har flera företag inom den finansiella sektorn såsom American Express, Citigroup, JPMorgan Chase och Société Génerale börjat använda sig av BFR. Förutom den finansiella sektorn verkar BFR tillämpas flitigt av läkemedels företag, företag inom hälsovården, elektronikföretag och liknande. En klar fördel med BFR är att ansökningsförfarandet är förhållandevis enkelt på så sätt att huvudmyndigheten sköter kommunikationen med de övriga myndigheterna och det sökande företaget endast behöver kommunicera med huvudmyndigheten. Så här långt har flest BFR som gäller i Sverige godkänts av dataskyddsmyndigheter i Storbritannien och Nederländerna. Trots att Datainspektionen har erfarenhet av att hantera BFR-frågor har den agerat huvudmyndighet i endast ett fall. Ericsson är det första företaget i Sverige som nyligen ansökt om godkännande av BFR med Datainspektionen som huvudmyndighet. 13

5 Sist men inte minst kräver BFR en kontinuerlig uppföljning och utbildning av personal. Även om detta vid en första anblick framstår som en kostnad, i långa loppet resulterar det i en ökad medvetenhet om personuppgiftsfrågor. Personuppgiftsbehandlingen förbättras på en global nivå och ett företags risk att oavsiktligt bryta mot person uppgiftsregler minskar drastiskt. Thomas Lindqvist är delägare och ansvarig för IP/TMT och arbetsrättsgruppen hos advokatfirman Hammarskiöld & Co, med stor erfarenhet inom IT, immaterialrätt, arbetsrätt och marknadsrättsligt relaterade frågor. Bojana Saletic är biträdande jurist i advokatfirman Hammarskiöld & Co:s och medlem i advokatfirmans IP/TMT grupp. Hon arbetar bl a med immaterialrätt och IT-rätt. Noter: 1 Se Dataskyddsdirektivet (direktiv 95/46/EG) art 25 p 6. 2 Enligt Kommissionens beslut anses adekvat skyddsnivå föreligga i Andorra, Argentina, Australien, Kanada, Färöarna, Guernsey, Israel, Isle of Man, Jersey, Nya Zeeland, Schweiz och Uruguay. För mer information se international-transfers/adequacy/index_en.htm. 3 Dataskyddsdirektivet art 26 p 2. 4 Se Kommissionens beslut 2001/497/EG om standardavtalsklausuler för överföring av personuppgifter till tredje land av den 15 juni 2001 och Kommissionens beslut 2004/915/EG av den 27 december 2004 när överföring sker till personuppgiftsansvarig samt Kommissionens beslut 2010/87/EU av den 5 februari 2010 när överföring sker till personuppgiftsbiträde. 5 Bindande företagsinterna regler kallas även för bind ande företagsregler eller bindande bestämmelser. På engelska kallas dem Binding Corporate Rules (BCR). 6 Se Personuppgiftslagen (PUL) I denna artikel används terminologi i enlighet med PUL. Personuppgiftsansvarig är den som bestämmer ändamålen med och medlen för behandlingen av person uppgifter, personuppgiftsbiträde är den som behandlar personuppgifter för personuppgiftsansvariges räkning. Underbiträde är den som behandlar personuppgifter enligt uppdrag från personuppgiftsbiträde. I den svenska översättningen av Dataskyddsdirektivet används begreppet registeransvarig istället för personuppgiftsansvarig och registerförare istället för personuppgiftsbiträde. 8 Mer information och förslag om innehållet i BFR går att hitta i dokument WP 154 utarbetat av Arbetsgruppen 29 som verkar under artikel 29 av Dataskyddsdirektivet och har för uppgift att självständigt uppfylla en rådgivande funktion avseende direktivet. 9 Vilka rättigheter som den registrerade ska ha framgår av Kommissionens beslut 2001/497/EG, bilaga 1, klausul 3. Se även WP 74, Transfers of personal data to third countries: Applying Article 26(2) of the EU Data Protection Directive to Binding Corporate Rules for International Data Transfers, s Vilka anspråk som anses framgår av Explanatory Document on the Processor Binding Corporate Rules, WP 204, s Ansökningsblanketterna är utarbetade av Arbetsgruppen 29 och tillgängliga på justice/data-protection/article-29/documentation/ opinion-recommendation/index_en.htm 12 Det kan handla om riktlinjer för behandling, guidelines för anställda, revisionsplan, utbildningsprogram, beskrivning av systemet för behandling av klagomål osv. 13 Följande länder är anslutna: Belgien, Bulgarien, Cypern, Tjeckien, Estonia, Frankrike, Tyskland, Island, Irland, Italien, Lettland, Liechtenstein, Luxembourg, Malta, Nederländerna, Norge, Slovakien, Slovenien, Spanien, Storbritannien och Österrike. 14 Se förslag till Europaparlamentets och Rådets förordning om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (allmän uppgiftsskyddsförordning) art Se Datainspektionens yttrande av den 12 mars 2013, diarienr , Kommissionens förslag till dataskyddsförordning (KOM (2012) 11 slutlig), s 4. 14