Om prosjektet
Med utkontraktering menes et foretaks bruk av oppdragstaker til å utføre arbeidsoppgaver som hører innunder foretakets ordinære virksomhet. Næringslivet var opprinnelig teknologisk selvforsynt, i den forstand at IT-tjenester i all hovedsak ble levert fra firmaets egen IT-avdeling. I dag dekkes imidlertid en virksomhets IT-behov primært av eksterne leverandører. Formålet med prosjektet er å utvikle en helhetlig forståelse av hvilke konsekvenser slik utkontraktering av IT-tjenester har for foretaks privatrettslige og offentligrettslige ansvar. Prosjektet vil ta utgangspunkt i foretak med konsesjon fra Finanstilsynet, fordi utkontraktering fra slike foretak reiser en rekke særlige rettsspørsmål.
Prosjektets privatrettslige del vil analysere IT-utkontraktering basert på obligasjonsrettslige kilder. Hva gjelder de offentligrettslige konsekvensene av IT-utkontraktering, vil prosjektet i hovedsak fokusere på de to praktisk viktigste kategoriene: foretakets personvernrettslige og finansregulatoriske forpliktelser. Førstnevnte gjelder virksomheter i sin alminnelighet, mens sistnevnte gjelder foretak med konsesjon fra Finanstilsynet. Begge regelsett har som formål å sikre at det utkontrakterende foretaket fortsatt oppfyller sine offentligrettslige forpliktelser selv om man benytter en leverandør til deler av den regulerte virksomheten.
Personvernretten er relevant fordi tilnærmet alle IT-leverandører behandler personopplysninger i større eller mindre grad på vegne av sine kunder. Personvernforordningen regulerer blant annet den såkalte behandlingsansvarliges adgang til å bruke databehandlere til å behandle personopplysninger på sine vegne. Det utkontrakterende foretak vil normalt bestemme behandlingens formål og metode, og dermed defineres som behandlingsansvarlig i henhold til forordningens art. 4 nr. 7. IT-leverandøren vil normalt være databehandler. Både behandlingsansvarlig og databehandler er imidlertid selvstendige ansvarssubjekter i henhold til personvernforordningens art. 82 og 83. Dermed må ansvarsfordelingen mellom dem i konteksten av en IT-kontrakt analyseres for å fastlegge utkontrakteringens betydning for det personvernrettslige ansvaret.
Utkontraktering fra ulike typer finansforetak underlagt tilsyn reguleres av et stadig økende tilfang av europeiske og nasjonale regler, inkludert særlige regler for IT-tjenester og skyleveranser. Reglene stiller for eksempel en rekke konkrete krav til innholdet av utkontrakteringsavtalen og det utkontrakterende foretakets risikovurdering av denne. Videre skal nærmere bestemte kategorier foretak melde utkontrakteringsavtaler til Finanstilsynet i henholdt il finanstilsynsloven § 4 c med tilhørende forskrift.
Mål
Avhandlingen forventes ferdig februar 2027.
Finansiering
Prosjektet er finansiert av Universitetet i Oslo.