Opphavsrett

Varemerker

Domenenavn

Design

Patent

Markedsføring

Kringkasting

Media/Underholdning

IT/Internett

Personvern

 

OVERFØRING AV PERSONOPPLYSNINGER MELLOM SELSKAPER I ET MULTINASJONALT KONSERN

Overføring av personopplysninger til land utenfor EØS er ulovlig uten særskilt grunnlag. Mellom selskaper i konsern kan overføring skje med grunnlag i binding corporate rules, godkjent av Datatilsynet. EU har gitt råd for å få slike regler godkjent.

Internasjonal overføring av personopplysninger forekommer i en rekke ulike situasjoner. Det blir stadig mer vanlig for multinasjonale konsern å sentrale sitt human resources-register og kunderegister; for små og store norske selskap å outsource IT-tjenester til selskap i India; å bruke underleverandører i utlandet; og andre former for internasjonalt samarbeid som forutsetter at personopplysninger overføres mellom selskap som er lokalisert i ulike land.

I utgangspunktet er det kun adgang til å overføre personopplysninger til land som ”sikrer en forsvarlig behandling av personopplysninger”, jf. personopplysningsloven § 29. Lovgiver har anerkjent at alle EØS-land oppfyller dette kravet. Datatilsynet har i tillegg anerkjent enkelte øvrige land, slik som Canada.

For overføring av personopplysninger til øvrige land, for eksempel USA eller India, kreves et særskilt grunnlag, jf. personopplysningsloven § 30. Vanligst er det å basere seg på individets samtykke. Imidlertid åpner § 30 opp for at Datatilsynet kan tillate overføring av personopplysninger i andre tilfeller enn de som er nevnt ovenfor. Blant annet har Datatilsynet tillatt overføring som er underlagt EUs standardavtale om internasjonal overføring av opplysninger, samt overføring som skjer ved at mottakende selskap i USA har slutter seg til EUs og USAs Safe Harbor-program.

Datatilsynet anerkjenner også binding corporate rules (”BCRs”) som et grunnlag for internasjonal overføring av personopplysninger. BCRs er et sett med regler som er utarbeidet av et konsern og som regulerer behandling/sikring av personopplysninger for alle dets selskaper.

BCRs fungerer således som et alternativ for andre grunnlag for internasjonal overføring av personopplysninger. Forutsetningen er at Datatilsynet har godkjent de BCRs som ønskes benyttet som grunnlag for internasjonal overføring av personopplysninger.

EUs personverngruppe (Article 29 Data Protection Working Party) anser BCRs som et hensiktsmessig grunnlag for overføring av personopplysninger mellom ulike selskap innen et multinasjonalt konsern. Gruppen har avgitt uttalelser med krav og råd om BCRs.  Hensikten med uttalelsene er bl.a. å veilede konsern som ønsker å etablere og implementere BCRs og å gjøre det enklere å få slike BCRs godkjent hos de nasjonale datatilsyn. Bl.a. anbefales det at BCRs kun består av ett dokument, hvor selskapenes plikter og individers rettigheter fremgår.