Flutningur persónuupplýsinga úr landi

Efni: Leiðsögn skv. 5. tölul. 3. mgr. 37. gr. laga nr. 77/2000 varðandi afhendingu persónuupplýsinga til vinnsluaðila í Bandaríkjunum

1.
Upphaf og efni máls
Þann 24. nóvember 2010 barst Persónuvernd tilkynning frá Alcoa Fjarðaáli sf. um vinnslu persónuupplýsinga með s.k. siðferðislínu. Í tilkynningunni kom fram að siðferðislínan væri hugsuð sem leið fyrir starfsfólk til að tilkynna nafnlaust um áhyggjuefni eða möguleg lögbrot eða brot á reglum fyrirtækisins. Þá kom jafnframt fram að persónuupplýsingar yrði fluttar til vinnsluaðila í Bandaríkjunum og í Sviss.

Með bréfum, dags. 6. janúar og 15. og 25. mars og 5. maí 2011 óskaði Persónuvernd eftir skýringum. Í svörum Alcoa Fjarðaáls, dags. 11. og 16. maí 2011, kom fram að framangreindir vinnsluaðilar væru öruggar hafnir. Þann 22. júní 2011 óskaði Persónuvernd nánari svara. Meðal annars um á hvaða heimild í 1. mgr. 8. gr. og 1. mgr. 9. gr. laga nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga, umrædd vinnsla Alcoa Fjarðaáls sf. byggðist og um hina erlendu vinnsluaðila. Þá var spurt hvernig upplýsingaréttur yrði tryggður.

2.
Svör Alcoa Fjarðaáls sf.
Svör bárust með bréfi lögmanns Alcoa Fjarðaáls sf., dags. 29. mars 2012. Þar segir að sérstakur samningur hafi verið gerður milli Alcoa Fjarðaáls sf. og Alcoa Inc. hinn 31. desember 2010. Með bréfinu fylgdu og afrit samnings Alcoa Inc við Ethics point, dags. 29. október 2010, og Ethics Points við viaLANGUAGE, dags. 28. febrúar 2006. Þá liggur nú fyrir í tölvubréfi lögmannsins, dags. 3. júlí sl., að upplýsingum muni ekki verða miðlað til Sviss fyrr en síðar.

Í bréfi lögmannsins, dags. 29. mars sl., segir m.a. þetta:

„Með því að nota siðferðislínuna þegar við á til þess að tilkynna eða leita ráðgjafar um áhyggjuefni er mögulegt að vernda starfsfólk, viðskiptavini, birgja og félagið sjálft gegn refsiverðri háttsemi, misferli eða annarri óæskilegri háttsemi í starfsemi félagsins. Markmiðið að baki siðferðislínunni er að tryggja að upplýsingar varðandi mögulega refsiverða háttsemi, misferli eða aðra óæskilega háttsemi í starfsemi félagsins verði heðhöndlaðar hratt og örugglega í fyllsta trúnaði af réttum aðilum innan félagsins. Þegar tilkynnt er um mögulega refsiverða háttsemi, misferli eða aðra óæskilega háttsemi í starfsemi félagsins eða þegar leitað er ráðgjafar vegna tiltekins áhyggjuefnis má almennt ætla að viðkomandi styðjist við hefðbundnar samskiptaleiðiar, s.s. með því að leita beint til yfirmanns, vinnuteynis eða annarra starfsmanna innan félagsins, t.d. starfsmannahalds. Notkun siðferðislínunnar á því einkum við þegar:
a. Viðkomandi telur hefðbundnar samskiptaleiðir ekki hafa skilað viðunandi árangri.
b. Viðkomandi þykir óþægilegt að nota venjulegar samskiptaleiðir.
c. Viðkomandi grunar að refsiverð háttsemi, misferli eða önnur óæskileg háttsemi sé til staðar í starfsemi félagsins, en er ekki meðvitaður um alla málavexti (með eftirfarandi rannsókn er þá reynt að staðreyna þær upplýsingar).
d. Viðkomandi telur þörf nánari útskýringa eða ráðgjafar til þess að leggja mat á nauðsyn frekari ráðstafana.
Alcoa telur nauðsynlegt að halda úti siðferðislínunni m.a. í því skyni að tryggja frekar trúverðugleika félagsins og ábyrgð þess í viðskiptum og gagnvart samfélaginu í heild sinni.
[...]
Alcoa Inc. hefur gert samning við félagið Ethics Point Inc. um þjónustu vegna siðferðislínunnar [dags. 29. október 2010 (EthicsPoint, Inc. - Services Agreement)]. Ethichs Point annast þannig í trúnaði allar tilkynningar í gegnum siðferðislínuna. Ethics Point framkvæmir ekki sjálfstæða rannsókn á grundvelli tilkynninganna, heldur tekur félagið á móti upplýsingunum og skilar skýrslu um þær til svæðisfulltrúa þeirrar deildar innan Alcoa, sem annast siðareglur og reglufylgni. Sú deild sendir upplýsingarnar til rannsóknar, almennt til þeirrar einingar innan Alcoa sem upplýsingarnar varða. Taka ber fram að bæði Alcoa Inc. sem og Ethics Point eru svonefndar „öruggar hafnir“ (e. „Safe Harbor“), sbr. m.a. 2. gr. auglýsingar nr. 228/2010 um flutning persónuupplýsinga milli annarra landa, sbr. og V. kafla laga nr, 77/20000.
[...]
Ethics Point hefur gert upplýsingarmiðlunarsamning við viaLanguage, dags. 28. febrúar 2006, vegna þýðingarþjónustu þess síðarnefnda við hið fyrrnefnda (fskj.1). Í samningnum kemur m.a. fram að meðferð viaLanguage á persónuupplýsingum skuli vera í samræmi við persónuverndarreglur Ethics Point (e. „Privacy Policy“)
[...]
Sérstakur samningur um vinnslu persónuupplýsinga, m.a. í gegnum siðferðislínuna, hefur verið gerður milli Alcoa Inc. og [Alcoa Fjarðaáls] (fskj.4). Í samningnum segir m.a.:
„The Processor [Alcoa Inc.] undertakes [...] d) not to disclose or otherwise communicate the Data to any third party without the prior written consent of the Controller [Alcoa Fjarðaál sf.] unless such disclosure or communication is necessary to perform the Services. Such third party (affiliates, subsidiaries, agents, contractors...) shall be bound by equivalent confidentiality obligations as provided herein in 2.1 (a) and 2.1. (b), and shall be Safe Harbor certified or have the necessary measures in place in line with the Data Protection Directive 95/46/EB (as amended from time to time) to provide the necessary safe environment for the Data, in accordance with the Safe Harbor Onward Transfer Principle. Processor shall at all times keep control of the Data by limiting such processing to the minimum required to adequately provide the Services [...]“
[...]
Samkvæmt framangreindu má ljóst vera að félagið Ethics Point er vottað sem svokölluð „örugg höfn (e. „Safe Harbor“) og skal vinnsla persónuupplýsinga í gegnum siðferðislínu umbjóðanda míns á grundvelli þjónustusamnings Alcoa Inc. og EthicsPoint Inc., vinnslusamnings Alcoa Inc. og umbjóðanda míns sem og samræmdu evrópsku verklagsreglnanna, vera í samræmi við meginreglur tilskipunar Evrópuþingsins og ráðsins nr. 95/46/EB og viðeigandi löggjöf aðildarríkja (í þessu tilviki löggjöf Íslands) sem og reglur um „öruggar hafnir“ (e. „Safe Harbor Principles“). “
[...]
Líkt og áður sagði er markmiðið að baki siðferðislínu umbjóðanda míns að tryggja að upplýsingar varðandi mögulega refsiverða háttsemi, misferli eða aðra óæskilega háttsemi í starfsemi félagsins verði meðhöndlaðar hratt og örugglega í fyllsta trúnaði af réttum aðilum innan félagsins. Þá kemur það fram í ráðningarsamningum félagsins að starfsmenn skuldbindi sig til þess að virða gildi Alcoa og allar almennar reglur Alcoa Fjarðaáls, öryggisreglur sem og aðrar starfsmannareglur. Öllum starfsmönnum hafa verið kynnt umrædd gildi og reglur og þekkja þeir því til efni þeirra. Þá eru starfsmenn meðvitaðir um að gildin og reglurnar eru hluti ráðningarsamninga félagsins. Í ljósi hins yfirlýsta markmiðs upplýsingaöflunarinnar sem og efnis ráðningarsamninga félagsins telur umbjóðandi minn heimild 2. og 7. tölul. 1. mgr. 8. gr. laga nr. 77/2000 standa til vinnslu almennra persónuupplýsinga, en heimild í 7. tölul. 1. mgr. 9. gr. laganna standa til vinnslu viðkvæmra persónuupplýsinga.“

3.
Leiðsögn Persónuverndar

3.1.
Um flutning persónuupplýsinga til Bandaríkjanna
Samkvæmt 29. gr. laga nr. 77/2000 er heimill flutningur persónuupplýsinga til annars ríkis ef lög þess veita persónuupplýsingum fullnægjandi vernd. Ríki sem framfylgir tilskipun Evrópusambandsins 95/46/EB um vernd einstaklinga í tengslum við vinnslu persónuupplýsinga og um frjálst flæði slíkra upplýsinga telst fullnægja þeim skilyrðum. Sama á við um lönd eða staði sem Persónuvernd auglýsir í Stjórnartíðindum að virtum ákvörðunum framkvæmdastjórnar Evrópubandalagsins. Samkvæmt ákvörðun framkvæmdastjórnarinnar, nr. 2000/520/EB, frá 26. júlí 2000, telst nægileg sú vernd sem veitt er í s.k. öruggum höfnum. Ákvörðunin nær til fyrirtækja sem fara að reglum viðskiptaráðuneytis Bandaríkjanna um öruggar hafnir fyrir friðhelgi einkalífsins. Hennar er getið í 2. gr. auglýsingar Persónuverndar nr. 228/2010 og er samkvæmt framangreindu heimilt að flytja upplýsingar til vinnsluaðila sem þar eru.

Vinnsluaðilinn Alcoa Inc. er á lista yfir öruggar hafnir („Safe Harbors“) og hefur skuldbundið sig til að fara að reglum bandaríska viðskiptaráðuneytisins um þær hafnir. Í vinnslusamningi Alcoa Fjarðaáls sf. við Alcoa Inc. kemur fram að Alcoa Inc. sé óheimilt að miðla upplýsingum til þriðja aðila nema með skriflegu samþykki ábyrgðaraðila, Alcoa Fjarðaáls, og slíkur þriðji aðili sé bundinn af sambærilegum trúnaðarskyldum og Alcoa Inc, vera örugg höfn eða hafa sett nauðsynlegar tryggingar. Samkvæmt  reglum bandaríska viðskiptaráðuneytisins um öruggar hafnir er vinnsluaðilum heimil afhending persónuupplýsinga til annarra undirvinnsluaðila, ef þeir síðarnefndu koma fram sem umboðsaðilar fyrir þá fyrrnefndu og að undirvinnsluaðilar heiti því að framfylgja reglum um öruggar hafnir eða veita aðrar fullnægjandi tryggingar. Þar (http://export.gov/safeharbor/eu/eg_main_018476.asp) segir:

Onward Transfer (Transfers to Third Parties): To disclose information to a third party, organizations must apply the notice and choice principles. Where an organization wishes to transfer information to a third party that is acting as an agent, it may do so if it makes sure that the third party subscribes to the Safe Harbor Privacy Principles or is subject to the Directive or another adequacy finding. As an alternative, the organization can enter into a written agreement with such third party requiring that the third party provide at least the same level of privacy protection as is required by the relevant principles.

Alcoa Inc. hefur gert samning við undirvinnsluaðilann Ethics Point Inc., dags. 31. desember 2010. Af fyrirliggjandi gögnum verður ekki annað ráðið en að það hafi verið gert með heimild og samþykki ábyrgðaraðila, Alcoa Fjarðaáls sf.  Ethics Point Inc. telst og vera örugg höfn. Ethics Point Inc. hefur gert samning við undirvinnsluaðilann viaLanguage um þýðingarþjónustu, en sá er einnig slík höfn. Hafa því allir framangreindir vinnsluaðilar skuldbundið sig til að hlíta reglum bandaríska viðskiptaráðuneytisins um öruggar hafnir fyrir friðhelgi einkalífsins.

Í ljósi framangreinds getur flutningur persónuupplýsinga frá Alcoa Fjarðaáli sf. til Alcoa Inc. í Bandaríkjunum samrýmst 2. mgr. 29. gr. laga nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga. Með vísun til þess gerir Persónuvernd að svo stöddu hvorki athugasemd við flutning umræddra persónuupplýsinga þangað né þaðan til tilgreindra undirverktaka.

3.2.
Fræðsla um vinnslu persónuupplýsinga með siðferðislínu
Í fræðslubæklingi Alcoa Fjarðaáls sf., sem ber yfirskriftina „Símaþjónusta um siðareglur og reglufylgni“ er fræðsla um framkvæmd vinnslu og notkun siðferðislínunnar. Þar segir að „símaþjónusta um siðareglur og reglufylgni [sé] LEYNILEG leið fyrir alla starfsmenn til að tilkynna áhyggjur af grun um brot á lögum og stefnu Alcoa og þeim athöfnum sem ekki eru í samræmi við gildi og meginreglur Alcoa.“

Settar hafa verið samræmdar evrópskar verklagsreglur um vinnslu persónuupplýsinga í gegnum siðferðislínuna (Alcoa Ethics and Compliance Line („ECL“) Calls - European Handling Procedure), sem í eðli sínu eru starfs- og siðareglur, sbr. 27. gr. tilskipunar nr. 95/46/EB og 5. tölul. 3. mgr. 37. gr. laga nr. 77/2000. Samkvæmt ákvæði 3.I í þeim skal ekki hvetja til nafnleyndar. Í ákvæði 4.I segir að upplýsa beri notanda siðferðislínunnar um rétt sinn til trúnaðar en að þær persónuupplýsingar sem hann veiti í tilkynningu geti þó verið afhjúpaðar í þágu rannsóknar einstakra mála eða vegna ákvarðana yfirvalda. Þá segir í ákvæði 5.I að ábyrgðaraðila sé skylt að tilkynna hinum skráða um þá háttsemi sem honum sé gefin að sök, til hverra slíkum upplýsingum geti verið miðlað sem og um rétt hins skráða til aðgangs og leiðréttingar.

Persónuvernd leiðbeinir Alcoa Fjarðaáli sf. um að veita fræðslu í samræmi við 20. og 21. gr. laga nr. 77/2000 og haga henni með hliðsjón af framangreindum verklagsreglum.

3.3.
Að lokum er tekið fram að bréf þetta hefur að geyma leiðsögn en ekki efnislega úrlausn um lögmæti vinnslu persónuupplýsinga. Persónuvernd kann síðar að taka efnislega afstöðu þar að lútandi eftir atvikum vegna einstakra kvartana sem henni kunna að berast.