Allar spurningar og svör

Tölvuský

Má varðveita mínar persónuupplýsingar í tölvuskýi?

Þegar unnið er með persónuupplýsingar þarf að gæta þess að þær séu unnar með þeim hætti að viðeigandi öryggi persónuupplýsinganna sé tryggt. Þetta á við hvort sem upplýsingar eru unnar í tölvukerfum innan húsakynna ábyrgðaraðila eða annars staðar. Slík vinnsla í tölvuskýi er því heimil, að því gefnu að gætt sé fullnægjandi öryggis.

Flutningur persónuupplýsinga úr landi er þó aðeins heimill ef lög viðtökulandsins veita persónuupplýsingum fullnægjandi vernd. Þau skilyrði uppfylla öll lönd innan EES-svæðisins auk þeirra landa sem Persónuvernd hefur auglýst sem örugg þriðju lönd, en lista yfir þau má nálgast í auglýsingu Persónuverndar um flutning persónuupplýsinga til annarra landa, sem skoða má undir flipanum „Lög og reglur“ á vefsíðunni. Sérstakt fyrirkomulag gildir um Bandaríkin en heimilt er að flytja persónuupplýsingar frá EES-svæðinu, þ.m.t. frá Íslandi, til fyrirtækja í Bandaríkjunum sem hafa farið í gegnum tiltekið ferli og fengið skráningu á Privacy Shield-lista bandaríska viðskiptaráðuneytisins.

Ef viðtökulandið telst ekki öruggt þriðja ríki eða fyrirtækið öruggt viðtökufyrirtæki í Bandaríkjum er ekki heimilt að flytja þangað persónuupplýsingar nema gerðar hafi verið tilteknar verndarráðstafanir, svo sem með því að fyrirtækið hefur sett sér bindandi fyrirtækjareglur, fylgir stöðluðum ákvæðum um persónuvernd eða viðurkenndum hátternisreglum.

Að öðru leyti er flutningur persónuupplýsinga úr landi almennt óheimill, þ.e. ef viðkomandi ríki veitir persónuupplýsingum ekki fullnægjandi vernd. Frá þessu eru þó takmarkaðar undanþágur vegna sérstakra aðstæðna, t.a.m. ef fyrir liggur upplýst samþykki þitt fyrir flutningi persónuupplýsinga um þig, ef miðlun er nauðsynleg vegna framkvæmdar samnings milli þín og ábyrgðaraðila (þ.e. þess aðila sem ber ábyrgð á flutningnum) eða ef miðlun er nauðsynleg vegna mikilvægra almannahagsmuna. Áhersla skal þó lögð á að undanþágur persónuverndarlaga geta aðeins rennt stoðum undir flutning persónuupplýsinga í mjög afmörkuðum tilvikum, og að þær persónuupplýsingar sem fluttar eru með þessum hætti njóta einungis verndar samkvæmt löggjöf þess ríkis sem þær eru sendar til.

Er mér óhætt að geyma mín persónulegu gögn í tölvuskýi?

Hver og einn verður að meta fyrir sig hvort hann vill geyma myndir og önnur gögn í tölvuskýi. Þegar þú vilt geyma gögnin þín í skýi eru nokkur atriði sem gott er að skoða, t.d.:

· Er viðkomandi fyrirtæki með persónuverndarstefnu? Þar ættir þú t.d. að geta nálgast upplýsingar um hvort og hverjir sjái gögnin þín, hvort þriðju aðilar (t.d. auglýsendur) fái aðgang að upplýsingunum þínum og hvað gerist þegar þú eyðir gögnum af skýinu.

· Er tölvuskýið með ISO 270001:2013 vottun eða jafnvel sérstaka evrópska persónuverndarvottun? Margir af stærstu skýjaveitendum í dag eru með ISO vottun.

· Eru gögnin vistuð innan EES, í öruggu þriðja ríki eða á Privacy Shield listanum?.



Var efnið hjálplegt? Nei