Denne artikel stammer fra det trykte Computerworlds arkiv. Artiklen blev publiceret den Computerworld d. 20. november 2001.
EU-direktivet om behandling af personoplysninger fra 1995 og den danske implementeringslov - Persondataloven - fra 2000 forbyder generelt overførslen af persondata til lande uden for EU og EØS-området, såkaldte tredjelande. EU-Kommissionen har imidlertid den 15. juni 2001 vedtaget en beslutning, hvorefter en sådan eksport af personoplysninger er lovlig, såfremt dataeksportøren og dataimportøren indgår en aftale, der indeholder en række bestemte standardklausuler. Denne artikel gennemgår kort de eksisterende muligheder for eksport af persondata samt indholdet af de nye eksportklausuler.
Hensynet til individets integritet
Overførsel af personoplysninger er af afgørende betydning i den moderne informationsteknologi, ikke mindst hos større internationale virksomheder med et veludbygget intranet og på internettet, hvor der i praksis konstant finder overførsel af personoplysninger sted.
Hensynet til smidig og effektiv udveksling af oplysninger på tværs af landegrænser og ønsket om ikke at belaste de internationale aktører unødigt kolliderer imidlertid med hensynet til beskyttelsen af individets integritet, der blandt andet søges varetaget ved databeskyttelsesretten. Ved eksport af data til tredjelande er konflikten mellem de to hensyn i persondataloven i vidt omfang løst til fordel for individet. Det er således udgangspunktet, at en sådan overførsel til lande uden for EU og EØS ikke må finde sted, men persondataloven foreskriver i dag fire undtagelser hertil:
I: Overførslen er tilladt, såfremt den sker til tredjelande, der sikrer en tilstrækkelig beskyttelse af personoplysninger. Dette betyder blandt andet, at et tredjeland skal have regler, der svarer til direktivets centrale principper, og at det pågældende lands regler om re-eksport sikrer, at der ikke sker overførsel af personoplysningerne til et land, der ikke opfylder disse krav. EU-Kommissionen er tillagt kompetence til at vurdere, om et land har et tilstrækkeligt beskyttelsesniveau. Således har kommissionen i juli 2000 godkendt Schweiz, Ungarn og USA, idet overførsel til USA dog kræver, at den modtagende virksomhed i USA har tilsluttet sig en række principper for databeskyttelse, som skal anvendes i forhold til personoplysninger, som stammer fra lande inden for EU/EØS.
II: Overførslen er tilladt, såfremt den registrerede har givet sit udtrykkelige samtykke til overførslen, hvilket blandt andet indebærer, at den registrerede skal være bekendt med hvilke oplysninger, der overføres, formålet med overførslen og til hvilke lande, overførslen finder sted.
III: Overførslen er tilladt, såfremt den er nødvendig af hensyn til en række nærmere opregnede formål, herunder til opfyldelsen af en aftale mellem den registrerede og den dataansvarlige, for at beskytte en vigtig samfundsmæssig interesse, for at beskytte den registreredes vitale interesser, til forebyggelse, efterforskning og forfølgning af strafbare forhold og af hensyn til det offentliges eller statens sikkerhed.
IV: Overførslen er tilladt, såfremt Datatilsynet giver tilladelse hertil. En sådan tilladelse gives konkret, såfremt den dataansvarlige yder tilstrækkelige garantier for beskyttelse af de registreredes rettigheder. I praksis vil dette navnlig være tilfældet, hvor der i en kontrakt indgået mellem dataeksportøren og dataimportøren er sikret den registrerede et højt beskyttelsesniveau.
EU-Kommissionens beslutning af 15. juni 2001 relaterer sig til undtagelsen skitseret under pkt. IV. Som bilag til beslutningen er vedhæftet et kontraktsudkast, som kan danne grundlag for lovlig udveksling af personoplysninger mellem dataeksportøren og en dataimportør, der er etableret i et tredjeland. Kontrakten kan suppleres af parterne, idet parterne frit kan tilføje andre kommercielle bestemmelser, for eksempel bestemmelser om gensidig assistance i tilfælde af tvister med en registreret person eller en tilsynsmyndighed.
Datatilsynet kan som følge af kommissionens beslutning ikke nægte at anerkende de i kommissionens kontraktsudkast fastsatte bestemmelser. Beslutningen forhindrer imidlertid ikke Datatilsynets godkendelse af andre kontraktskomplekser, som måtte blive bragt i forslag af erhvervsdrivende organisationer med videre.
Kommissionens standardkontrakt indeholder følgende hovedelementer:
Standardkontraktens indhold
Parterne er forpligtet til i et tillæg til standardkontrakten at anføre, hvilke kategorier af oplysninger, der overføres, herunder om oplysningerne er følsomme, hvilket formål overførslen tjener samt en udtømmende opregning af, hvem oplysningerne må videregives til. Parterne skal endvidere - i modsætning til de tilfælde, hvor overførsel sker på grundlag af andre bestemmelser i persondataloven - forpligte sig til en begrænsning af den periode, hvori de overførte oplysninger må opbevares.
Tredjepartsløfte
Kontrakten forpligter parterne til at acceptere, at de registrerede personer er påtaleberettigede og direkte kan håndhæve overholdelsen af en række af kontraktens centrale bestemmelser, selv om de ikke er part i kontrakten. Dette har blandt andet den lidt særegne konsekvens, at hvor data vedrørende for eksempel en amerikansk statsborger er indsamlet i Danmark, eksempelvis ved denne persons aktiviteter over internettet, og senere videregives til et amerikansk firma, erhverver den amerikanske statsborger rettigheder under dansk ret over for det amerikanske firma. Denne "eksport" af EU-lovgivning har givet anledning til betydelig debat i USA's kongres.
Dataeksportørens pligter
Dataeksportøren skal bekræfte, at hans behandling af personoplysninger har været i overensstemmelse med persondatalovens regler, indtil overførslen finder sted. Dataeksportøren skal endvidere garantere, dels at de registrerede informeres om, at deres eventuelle følsomme oplysninger kan blive overført til et tredjeland, dels at dataeksportøren inden for en rimelig tidsfrist og i rimeligt omfang vil besvare forespørgsler fra tilsynsmyndighederne og den registrerede selv om dataimportørens behandling af de pågældende personoplysninger.
Dataimportørens pligter
Dataimportøren skal garantere, at han ikke har nogen grund til at tro, at han ifølge den nationale lovgivning, som han er underlagt, er forhindret i at overholde sine forpligtelser i henhold til kontrakten. Dataimportøren skal endvidere garantere, at han vil behandle personoplysningerne i overensstemmelse med en af de to obligatoriske databeskyttelsesprincipper, der er anført i henholdsvis tillæg 2 og tillæg 3 til standardkontrakten. Dataimportøren forpligter sig i den forbindelse blandt til, at personoplysningerne alene anvendes til de formål, som er anført af parterne i standardkontrakten, at de opbevarede oplysninger er korrekte og relevante for det formål, som forfølges, at oplysningerne opbevares sikkert, at oplysningerne ikke vil blive videregivet til lande, der ikke har et tilstrækkeligt beskyttelsesniveau, og at dataimportøren vil informere den registrerede om en eventuel senere videregivelse.
Ansvar og værneting
Dataimportøren og dataeksportøren er solidarisk ansvarlige for skade, som påføres den registrerede som følge af overtrædelser af de grundlæggende bestemmelser i kontrakten, og både importøren og eksportøren er underlagt den registreredes afgørelse af, om en eventuel tvist skal behandles af en domstol i det land, hvor dataeksportøren er etableret.
Er mekanismen attraktiv?
Om der er nogle virksomheder, der vil benytte disse standardkontrakter til eksport af personoplysninger til koncernforbundne selskaber, filialer eller andre virksomheder er langt fra sikkert. Det er ikke uproblematisk at lade en virksomhed etableret i et tredjeland være underlagt sådanne restriktive databeskyttelsesregler, som fremgår af Kommissionens kontraktsudkast. Virksomheder etableret i tredjelande vil ofte være helt uden erfaring med sådanne regler for databehandling og vil kun sjældent have IT- og logistiske systemer, der er indrettet til at understøtte en sådan behandling. Kommissionens nye beslutning bidrager imidlertid til en afklaring af den usikkerhed, der har eksisteret vedrørende det lovlige indhold af kontraktbestemmelser om overførsel af personoplysninger til lande uden for EU og EØS, og dette kan i sig selv udgøre et skridt henimod en mere effektiv og smidig dataudveksling med sådanne lande.
Boks: Carsten Raasteen (cr@kromannreumert.com) og Søren Skibsted (ssk@kromannreumert.com) er tilknyttet Kromann Reumerts afdeling for IT-ret og beskæftiger sig blandt andet med IT-systemkontrakter, softwarelicens- og supportaftaler, IT-konsulentaftaler, web-aftaler, juridiske spørgsmål vedrørende internet og e-commerce samt køb, salg og finansiering af IT-virksomheder.
Computerworld Jura kommer hver 14. dag og produceres i samarbejde med: Kromann Reumert
