Flutningur persónuupplýsinga úr landi
Fyrirtækjum og stjórnvöldum er almennt heimilt að flytja persónuupplýsingar innan EES en þegar þær eru fluttar út fyrir það svæði þá gilda sérstakar reglur.
Má flytja mínar persónuupplýsingar úr landi?
Flutningur persónuupplýsinga úr landi er aðeins heimill ef lög viðtökulandsins veita persónuupplýsingum fullnægjandi vernd. Þau skilyrði uppfylla öll lönd innan EES-svæðisins auk þeirra landa sem Persónuvernd hefur auglýst sem örugg þriðju lönd, en lista yfir þau má nálgast í auglýsingu Persónuverndar um flutning persónuupplýsinga til annarra landa, sem skoða má undir flipanum „Lög og reglur“ á vefsíðunni.
Evrópudómstóllinn hefur ógilt ákvörðun framkvæmdastjórnar Evrópusambandsins, nr. 2016/1250, sem fjallar um fullnægjandi vernd persónuupplýsinga samkvæmd Privacy Shield-samkomulagi Evrópusambandsins og Bandaríkjanna, en samkomulagið felur í sér að flutningur persónuupplýsinga til fyrirtækja í Bandaríkjunum sem hafa farið í gegnum tiltekið ferli og fengið skráningu á þar til gerðan lista bandaríska viðskiptaráðuneytisins hefur verið talinn öruggur.
Ef viðtökulandið telst ekki öruggt þriðja ríki eða fyrirtækið öruggt viðtökufyrirtæki í Bandaríkjum er ekki heimilt að flytja þangað persónuupplýsingar nema gerðar hafi verið tilteknar verndarráðstafanir, svo sem með því að fyrirtækið hefur sett sér bindandi fyrirtækjareglur, fylgir stöðluðum ákvæðum um persónuvernd eða viðurkenndum hátternisreglum.
Að öðru leyti er flutningur persónuupplýsinga úr landi almennt óheimill, þ.e. ef viðkomandi ríki veitir persónuupplýsingum ekki fullnægjandi vernd. Frá þessu eru þó takmarkaðar undanþágur vegna sérstakra aðstæðna, t.a.m. ef fyrir liggur upplýst samþykki þitt fyrir flutningi persónuupplýsinga um þig, ef miðlun er nauðsynleg vegna framkvæmdar samnings milli þín og ábyrgðaraðila (þ.e. þess aðila sem ber ábyrgð á flutningnum) eða ef miðlun er nauðsynleg vegna mikilvægra almannahagsmuna. Áhersla skal þó lögð á að undanþágur persónuverndarlaga geta aðeins rennt stoðum undir flutning persónuupplýsinga í mjög afmörkuðum tilvikum, og að þær persónuupplýsingar sem fluttar eru með þessum hætti njóta einungis verndar samkvæmt löggjöf þess ríkis sem þær eru sendar til.