stedsbestemmelser i avtaler om ikt drift, håndtering i anbud.pptx
Post on 25-Jun-2015
87 Views
Preview:
DESCRIPTION
TRANSCRIPT
Bestemmelser om geografisk plassering av personell og data
i IKT-kontrakter- Offshoring og nettskyer
Advokat Eva I. E. Jarbekk
April 13, 20231
Lokasjonsbestemmelser i driftsavtaler
April 13, 20232
Tema
April 13, 20233
Fordi
April 13, 20234
Geografisk plassering av data kan utløse•Prisbesparelser – det er fint, hvis det er håndterbart ifht konkurransekriterier•Krav til samtykke fra Datatilsynet – tar tid og har ikke alltid garantert positivt utfall•Informasjonsplikt overfor de som er registrert
Dette bør man ha tenkt på før utlysing av konkurranse• Geografisk begrensning av datalokasjon?• Lav prising grunnet bruk av ressurser i land man ikke vet om godkjennes, hva gjør man da?
Virginia with backup in WashingtonUnited StatesCanadaMexico Puerto Rico
Dublin with backup in Amsterdam
Austria Belgium Czech Republic Denmark Finland France Germany Greece Hungary Ireland Italy
Israel Netherlands Norway Poland Portugal Romania Spain Sweden Switzerland UK
Singapore with backup in Hong Kong
Australia China Hong Kong India Japan Malaysia
Brazil with backup in Chile
Brazil ChileColombia
New Zealand Singapore South Korea Taiwan
Trend
Nettskyer tvinger seg frem pga effektivitet og kostnadsbesparelser
Kilde: IT i praksis – Rambøll - bruk av IT i de 500 største private og offentlige virksomhetene i Norge
April 13, 20236
Offentlig sektor Privat sektor
2010 11% 17%
2011 33% 38%
2012
Regler om PO i utlandet
April 13, 20238
Hovedregel i § 29
Utgangspunkt: POLs generelle krav til behandling av personopplysninger er oppfylt (§§8, 9, 11);
• PO kan overføres til land innen EU og EØS-området• PO kan overføres til land som Europakommisjonen har godkjent (liste)• PO kan overføres til enkeltbedrifter i USA som har sluttet seg til Safe Harbor
Ikke konsesjonspliktig i seg selv, men overføringen må beskrives i konsesjonssøknad eller melding knyttet til hovedformålet
April 13, 20239
Overføring til andre tredjeland og vsh i USA utenfor Safe Harbor
Må følge ”unntakene” i § 30
I utgangspunktet er overføring ikke tillatt med mindre unntak kan brukes
April 13, 202310
Overføring av PO til utlandet§ 30 UnntakPersonopplysninger kan også overføres til stater som ikke sikrer en forsvarlig behandling av
opplysningene dersom a)den registrerte har samtykket i overføringen, b) det foreligger plikt til å overføre opplysningene etter folkerettslig avtale eller som følge av
medlemskap i internasjonal organisasjon, c) overføringen er nødvendig for å oppfylle en avtale med den registrerte, eller for å utføre
gjøremål etter den registrertes ønske før en slik avtale inngås, d) overføringen er nødvendig for å inngå eller oppfylle en avtale med en tredjeperson i den
registrertes interesse, e)overføringen er nødvendig for å vareta den registrertes vitale interesser, f) overføringen er nødvendig for å fastsette, gjøre gjeldende eller forsvare et rettskrav, g)overføringen er nødvendig eller følger av lov for å beskytte en viktig samfunnsinteresse, eller h)det er fastsatt i lov at det er adgang til å kreve opplysninger fra et offentlig register.
April 13, 202311
Overføring av PO til utlandet§ 30 Unntak
Datatilsynet kan tillate overføring selv om vilkårene i første ledd ikke er oppfylt dersom den behandlingsansvarlige gir tilstrekkelige garantier for vern av den registrertes rettigheter. Datatilsynet kan sette vilkår for overføringen.
Typisk: EUs standardavtalerBinding Corporate Rules (BCR)Processor Binding Rules (PBCR)
April 13, 202312
EUs standard avtaler/modellavtalerTo hovedtyper avtaler
• Overføring til databehandler i utlandet
• Overføring til en annen virksomhet som skal bruke opplysningene til eget formål• 2 alternative kontrakter• Forskjellige erstatningsbestemmelser
April 13, 202313
EUs standardavtalerPresise bestemmelser om
•Hvilke typer opplysninger som kan overføres•Hva opplysningene kan brukes til•Hvor de skal lagres•Hvor lenge•De registrerte skal informeres ifbm sensitive PO
•Hvis man gjør endringer, f eks tar ut bestemmelsen om informasjon til de registrerte, vil avtalen ikke bli godkjent
Hvis man gjør noe annet enn hva som er beskrevet, må ny avtale inngås og godkjennes
Mye arbeid, tar tid i DT
April 13, 202314
Binding Corporate Rules - konsern• Fra artikkel 29-gruppen
• Grunnlag for overføring når de gir tilstrekkelige garantier for den registrertes personvern
• Praktisk der konsern opererer i og utenfor EU-/EØS-land• 19000 overføringsavtaler eller en BCR?
• Veiledere på Artikkel 29-gruppens hjemmesider
• Videreføres i ny EU-forordning
• Diskusjoner EU/USA/Asia om gjensidig godkjenning av BCR
April 13, 202318
Binding Corporate Rules - forvaltning• Processor Binding Corporate Rules
• Grunnlag for bruk av databehandler som lagrer opplysninger utenfor EU/EØS
• Ingen godkjent pt
• Informasjonsplikt til de registrerte?
• Veiledere på Artikkel 29-gruppens hjemmesiderApril 13, 202319
Begrense geografisk i anbud?
• Fristende ifht pol’s regler
• General Procurement Agreement • GPA-avtalen• plurilateral avtale, omfatter 41 av WTOs medlemmer• Likebehandling og ikke-diskriminering for tjenester mellom
landene• Kan ikke ekskludere GPA-medlemmer
GPA-avtalen
• Omfatter datatjenester
• Vanskelig å sette en begrensning i konkurransegrunnlaget om at plattformen kun kan etableres i EU
• Selv om GPA-land må inkluderes, kan Datatilsynet sette begrensninger på eventuelle overføringer
Det antas at inngåelsen av den reviderte GPA-avtalen vil forenkle tiltredelsesforhandlingene med nye land. Det forhandles nå med en rekke WTO-land, deriblant Kina, Ukraina og New Zealand om tiltredelse til GPA-avtalen. Flere land er observatører til avtalen, deriblant India og Malaysia.
Dersom flere nye land tiltrer avtalen, vil det bety en utvidelse av markedsadgangen for norske leverandører.
Kilde: www.regjeringen.no november 2012
Ser ny tilnærming ved anbud
• Aktuelle land må forhåndsgodkjennes av Datatilsynet
• Tar lengre tid
• Mer arbeid
• Gir kontroll
• Takk for oppmerksomheten!
April 13, 202325
top related