Dataportabilitet og overføring av persondata til utlandet Av advokat Nils Kristian Sveaas og advokatfullmektig Ingrid Espolin Johnson nks@advtofte.no og iej@advtofte.no
Nils Kristian Sveaas er advokat i Advokatfirma Tofte DA i Kristiansand. Sveaas bistår klienter i personvernspørsmål, og er medlem av Eurojuris Norges arbeidsgruppe for personvern. Hans primære fagområder er arbeidsrett, kontraktsrett og tvisteløsning.
Ingrid Espolin Johnson er advokatfullmektig i Advokatfirma Tofte DA. Johnson jobber som allmennpraktiker, med hovedvekt på personvern, kontraktsrett og fast eiendom. Hun inngår i Advokatfirma Tofte sin faggruppe for fast eiendom og entreprise.
1. AKTUALITET Retten til personvern sikrer den enkeltes integritet og privatliv. Det er en menneskerett, nedfelt i Den europeiske menneskerettskonvensjon artikkel 8 og Grunnloven § 102. Men personvern er minst like viktig i et samfunnsperspektiv: Et dårlig ivaretatt personvern kan sette demokratiet i fare ved at borgerne begrenser sin deltakelse i åpen meningsutveksling og politisk aktivitet. Personvern er i disse dager aktuelt, fordi vi til neste år får nye personvernregler i EU- og EØSområdet. Forordning (EU) 2016/679 av 27. april 2016, på engelsk forkortet GDPR (General Data Protection Regulation), trer i kraft 25. mai 2018 og erstatter Direktiv 95/46/EF av 24. oktober 1995. GDPR viderefører de fleste sentrale bestemmelsene i dagens regelverk, men innfører samtidig skjerpede krav til det rettslige grunnlaget for å behandle personopplysninger, styrkede rettigheter for individet og et mye strengere sanksjonsregime.
2. NÆRMERE OM DATAPORTABILITET OG OVERFØRING AV PERSONDATA TIL UTLANDET En spennende nyhet i den nye personvernforordningen er retten til å flytte datainnhold mellom systemer og tjenester – også kalt retten til dataportabilitet, jf. forordningens artikkel 20. Retten til dataportabilitet innebærer for det første at du kan kreve å motta personopplysninger som du har gitt til en virksomhet (behandlingsansvarlig), i et «strukturert, alminnelig anvendt og maskinleselig format» og overføre opplysningene til en annen behandlingsansvarlig. For det andre kan du kreve at opplysningene overføres direkte fra en behandlingsansvarlig til en annen behandlingsansvarlig, såfremt det er teknisk mulig. Retten til dataportabilitet er brukerstyrt i den forstand at det er den registrerte selv som bestemmer. Derfor er det mer treffende å anse retten til dataportabilitet som en forbrukerrettighet enn en personvernregel. Samtidig inne-
26 Dataportabilitet og overføring av persondata til utlandet
bærer overføring av persondata alltid en risiko for personvernet. Med rettigheten følger derfor en rekke problemstillinger knyttet til hvordan bestemmelsen skal håndteres i praksis, herunder hvilke opplysninger som kan kreves overført, og hvem som skal ha det sikkerhets- og kostnadsmessige ansvaret for overføringen. Vi gjennomgår dette nærmere under punkt 3 nedenfor.
Når persondata flyttes over landegrenser, er risikoen for personvernkrenkelser høy. Derfor må behandlingsansvarlige virksomheter oppfylle visse tilleggskrav i forbindelse med overføring av persondata til utlandet. At virksomheter overfører persondata til utlandet i strid med personopplysningsloven, er blant de hyppigste sikkerhetsbruddene innen personvernsfeltet. Vi gjennomgår vilkårene for slik overføring under punkt 4 nedenfor.
Når persondata flyttes over landegrenser, er risikoen for personvernkrenkelser høy.
Dataportabilitet og overføring av persondata til utlandet 27