03

Beint í leiðarkerfi vefsins.

Flutningur persónuupplýsinga til ríkja sem ekki veita fullnægjandi persónuupplýsingavernd

Má alþjóðlegt fyrirtæki með starfsemi hér á landi flytja persónuupplýsingar um starfsfólk til höfuðstöðva fyrirtækisins í Bandaríkjunum? Hvernig er með nafnlausar heilsufarsupplýsingar, er leyfilegt að flytja þær milli landa?

1. Flutningur persónuupplýsinga til ríkis sem ekki veitir fullnægjandi persónuupplýsingavernd

Bandaríkin eru ríki sem ekki er talið veita fullnægjandi persónuupplýsingavernd skv. lögum nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga og fer því um flutning þangað skv. 30. gr. laganna.

Í 1. mgr. 30. gr. laganna kemur fram að flutningur persónuupplýsinga til ríkis sem ekki veitir fullnægjandi persónuupplýsingavernd sé óheimill nema eitthvert af þeim átta skilyrðum sem talin eru upp í ákvæðinu séu fyrir hendi. Það skilyrði sem einkum getur átt við í því tilviki sem hér um ræðir er að samþykki starfsfólksins liggi fyrir.

 

Samþykkið þarf að vera upplýst, en samkvæmt 7. tl. 2. gr. laganna er upplýst samþykki sérstök, ótvíræð yfirlýsing sem einstaklingur gefur af fúsum og frjálsum vilja um að hann sé samþykkur vinnslu tiltekinna upplýsinga um sig og að honum sé kunnugt um tilgang hennar, hvernig hún fari fram, hvernig persónuvernd verði tryggð, um að honum sé heimilt að afturkalla samþykki sitt o.s.frv.

 

Ef ekkert af þeim skilyrðum sem talin eru upp í 1. mgr. 30. gr. laganna er fyrir hendi getur Persónuvernd heimilað flutning upplýsinganna, telji hún sérstök rök mæla með því. Slíkt er háð því að ábyrgðaraðili hafi, að mati stofnunarinnar, veitt nægilegar tryggingar fyrir slíku.   

 

Slíkar tryggingar geta einkum komið fram í viðeigandi samningsákvæðum. Þetta má t.d. gera með stöðluðum samningsskilmálum sem framkvæmdastjórn Evrópusambandsins hefur samþykkt. Ef þessi leið er farin þarf Persónuvernd einnig að veita leyfi fyrir flutningnum og getur stofnunin sett frekari skilmála en kveðið er á um í hinum stöðluðu skilmálum.

 

Einnig hefur verið litið svo á að auk samninga, geti svonefndar bindandi fyrirtækjareglur  (binding corporate rules) sem hafa það að markmiði að tryggja að innan fyrirtækis, sem fer eftir þeim, sé persónuupplýsingum veitt nægileg vernd geti verið fullnægjandi heimild. Bindandi gildi þeirra fyrir fyrirtækin byggist þá á einhliða skuldbindandi yfirlýsingu þeirra þar að lútandi sem felur í sér að þeir sem unnið er með persónuupplýsingar um innan þeirra öðlast rétt gagnvart þeim um að með upplýsingarnar verði farið samkvæmt reglunum. Svo að miðlun persónuupplýsinga úr landi á grundvelli fyrirtækjareglna sé heimil verður hún að hafa verið heimiluð af Persónuvernd.

 

Að lokum er rétt að geta þess að til þess að gera flutning persónuupplýsinga til Bandaríkjanna heimilan, hefur verið komið á fót kerfi svonefndra öruggra hafna (Safe Harbor), þ.e. fyrirtækja sem hafa skuldbundið sig til að fara að ákveðnum reglum um meðferð persónuupplýsinga og teljast þau því veita þeim nægilega vernd. Í slíkri skuldbindingu felst m.a. að viðkomandi fyrirtæki eru sett undir tiltekið eftirlitskerfi þar sem bandaríska viðskiptaráðuneytið og bandaríska viðskiptastofnunin (FTC) gegna þýðingarmiklu hlutverki.

 

Víða á Netinu er að finna upplýsingar um flutning persónuupplýsinga úr landi og má í dæmaskyni benda á eftirfarandi heimasíðu þar sem fram koma upplýsingar um málefnið.

 

http://www.marketingimprovement.com/hotnews/freestanding/bcr.html

 

2. Eru nafnlausar heilsufarsupplýsingar persónuupplýsingar ?

 

Í framkvæmd hefur Persónuvernd litið svo á að upplýsingar séu persónugreinanlegar þrátt fyrir að þær séu fluttar úr landi án persónuauðkenna ef greiningarlykill er til hérlendis sem tengir ópersónugreinanleg auðkenni (t.d. númer) við persónuauðkenni.



 
 

home

 

Vinstra efraval

Hægra efraval

Persónuvernd | Rauðarárstíg 10, 105 Reykjavík, Ísland | Sími: 510 9600 | Fax: 510 9606 | Kennitala : 560800-2820                                                                                    postur [hjá] personuvernd.is

Útlit síðu: