JUSS OG SAMFUNN

Norske foretak i søkelyset for dataoverføring til USA

Her er listen over 110 virksomheter Datatilsynet har sendt brev til.

Norske foretak som de siste tre årene har meldt inn at de overfører persondata til USA under Safe Harbour-vilkårene har fått varselbrev fra Datatilsynet.
Norske foretak som de siste tre årene har meldt inn at de overfører persondata til USA under Safe Harbour-vilkårene har fått varselbrev fra Datatilsynet. Bilde: Per Ervland
7. des. 2015 - 08:09

I oktober rev EU-domstolen vekk grunnlaget for overføring av personopplysninger til USA etter den såkalte Safe Harbour-avtalen.

Beslutningen har skapt et juridisk vakuum og mye usikkerhet. I kortform er rådet fra Datatilsynet at de berørte heretter må benytte seg av EUs standardkontrakter, som rettslig grunnlag for å eksportere persondata, lovlig.

Datatilsynet sendte i slutten av oktober et varselbrev til 110 virksomheter med informasjon om hva de må gjøre for å unngå at det som tidligere var å anse som formaliteter nå utgjør et lovbrudd.

Tilsynet antar det er langt flere dette gjelder, men mottakerne av brev er virksomheter som de siste tre årene har meldt ifra til dem at de overfører data til USA, med basis i den nå skrotede Safe Harbour-ordningen.

«Kommisjonsbeslutningen som Safe Harbour-ordningen hviler på er kjent ugyldig, og EU-domstolens avgjørelse får virkning også for norsk lovgivning», heter det blant annet i varslet.

Ikke så mange har svart

Over seks uker senere har færre enn halvparten foretatt seg noe.

– Vi har så lang fått inn 30-40 søknader om forhåndstillatelse. Det er ikke så mange når man ser på antallet brev som ble sendt ut, men det kan være mange årsaker til det. Vi har ikke gjort noen grundig analyse, men mulige årsaker er at firmaet ikke lenger overfører opplysninger til utlandet og derfor ikke trenger å forholde seg til brevet, at firmaet ikke lenger eksisterer etc, opplyser tilsynets kommunikasjonsrådgiver Ida Sodia Vaa til digi.no.

Vi har bedt om og fått innsyn i hvem de drøyt hundre som fikk brev er. Der var det en god del dobbeltoppføringer. Etter at digi.no har vasket og sortert oversikten sitter vi igjen med rundt 80 virksomheter, men det er mulig det fortsatt gjenstår noen dubletter.

Saken fortsetter under listen.

Artikkelen fortsetter etter annonsen
annonse
Schneider Electric
Schneider Electric lanserer Galaxy VXL UPS
Schneider Electric lanserer Galaxy VXL UPS
  1. ADI Alarmsystems AS
  2. Advokatfirmaet Sverdrup DA
  3. Astrazeneca AS
  4. Avanade Norway AS
  5. Axakta Coating Systems Norway AS
  6. Bergen Holdingselskap AS
  7. Bioventus Coöperatief Norway
  8. BP Norge AS
  9. Brightstar Corporation
  10. Cognizant Technology Solutions Norway
  11. Combisafe Norge as
  12. Copper Crouse-Hinds AS
  13. Cummins Norway AS
  14. Danisco Norway as
  15. Danske Bank
  16. Dentsply IH AS
  17. Deutsche Bank AG, Oslo Branch
  18. DinDeler A/S
  19. Direktoratet for nødkommunikasjon
  20. DNO International ASA
  21. Dresser-Rand AS
  22. DuPont Norge AS
  23. DuPont Norge AS - c/o Simonsen Advokatfirma DA
  24. Eltek ASA
  25. Esprit AS Norway
  26. Esso Energi AS
  27. Falck Redning AS
  28. Federal Express Corporation, Norway Branch, NUF
  29. Ford Motor Norge AS
  30. Fossil Norway A/S
  31. GlaxoSmithKline As
  32. Google Inc
  33. Harsco Metals Norway AS
  34. Hernis Scan Systems AS
  35. Honeywell AS
  36. Honeywell Hearing Technology AS
  37. Honeywell Life Safeta AS
  38. Institutt for Medskapende Ledelse AS
  39. International SOS Norge AS
  40. Iron Mountain Norge as
  41. ITL Intermec Technologies as
  42. Janssen-Cilag AS
  43. Johnson & Johnson AB
  44. KCI Medical AS
  45. Landis + Gyr AS
  46. Legelisten.no AS
  47. Lego Norge AS
  48. Marine Power International Limited filial av utenlandsk aksjeselskap
  49. Medtronic Norge AS
  50. Microenta AS
  51. Mondelez Europe Procurement - norsk filial
  52. Mondelez Europe Services - norsk filial
  53. Mondelez Norge AS
  54. Mondelez Norge Production AS
  55. Motorola Solutions Norway AS
  56. mPayment AS
  57. Nigel Wright Consultancy Norway AS
  58. Nordic Sales Group AS
  59. Nordisk Aviation Products
  60. Ontario Institute for Studies in Education (University of Toronto)
  61. Philips Norge AS
  62. Psykolog Espen Johnsen
  63. Psykologisk institutt, Universitetet i Oslo
  64. Pulse Health, LLC
  65. PVH Corp.
  66. PVH Norge AS
  67. Raytheon Professional Services GmbH
  68. SAS Institute AS
  69. Schneider Electric Norge AS
  70. Stiftelsen Handelshøyskolen BI
  71. Tesla Motors Norway AS
  72. Toyota Material Handling Norway AS
  73. Travelport Norway AS
  74. Troms Offshore Managment AS
  75. Tyco Electronics Norway AS
  76. UNINETT AS
  77. Univar AB
  78. UPS Norway AS
  79. UTC Fire & Security Norge AS
  80. Utlendingsdirektoratet
  81. Vesterålens Naturprodukter AS
  82. Warner Bros. Entertainment Norge AS
  83. Warner Bros. International Television Production Norge AS
  84. Zimmer Norway AS

Datatilsynet lagrer bare meldinger i tre år, slik at det kan være flere enn virksomhetene på denne listen som har meldt inn at de benytter Safe Harbour for dataoverføring. Fordi disse opplysningene er slettet er det ikke mulig å oppdrive en slik oversikt.

Vurderer kontroll

Datatilsynet vurderer å følge opp med kontroller, men det blir først aktuelt til neste år.

Årsaken er at Artikkel 29-gruppen, EU-kommisjonens ekspertgruppe og rådgivende organ i personvernspørsmål, der også det norske Datatilsynet deltar med observasjonsstatus, har gitt EU og USA en frist til 31. januar 2016 med å komme fram til en ny avtale, en slags Safe Harbour 2.0. Datatilsynet vil vente med kontroll til de vet hva disse forhandlingene munner ut i.

I brevet fra Datatilsynet, som du kan lese her, fremgår det at de berørte virksomhetene som overfører personopplysninger til USA i realiteten nå har to valg: Enten å stanse overføringen uten ugrunnet opphold, eller å snarest ta i bruk «et av de øvrige dataoverføringsgrunnlagene» som i realiteten er EUs standardkontrakter med tilhørende vilkår, inkludert søknad.

Kan bli dyrt

Dersom berørt virksomhet ved kontroll ikke har foretatt seg noe kan det vanke straffereaksjoner i form av høye gebyrer.

Nivået vil blant annet avhenge av hva slags personopplysninger det er snakk om.

– Generelt ser vi alvorlig på den type overtredelser og har i sammenlignbare saker gitt overtredelsesgebyr på alt fra 100 000 til 600 000 kroner, sier kommunikasjonsrådgiver Vaa.

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.