Tölvuský
Hvað þarf að hafa í huga við varðveislu persónuupplýsinga í tölvuskýjum?
Má varðveita mínar persónuupplýsingar í tölvuskýi?
Þegar unnið er með persónuupplýsingar þarf að gæta þess að þær séu unnar með þeim hætti að viðeigandi öryggi persónuupplýsinganna sé tryggt. Þetta á við hvort sem upplýsingar eru unnar í tölvukerfum innan húsakynna ábyrgðaraðila eða annars staðar. Slík vinnsla í tölvuskýi er því heimil, að því gefnu að gætt sé fullnægjandi öryggis.
Flutningur persónuupplýsinga úr landi er þó aðeins heimill ef lög viðtökulandsins veita persónuupplýsingum fullnægjandi vernd. Þau skilyrði uppfylla öll lönd innan EES-svæðisins auk þeirra landa sem Persónuvernd hefur auglýst sem örugg þriðju lönd, en lista yfir þau má nálgast í auglýsingu Persónuverndar um flutning persónuupplýsinga til annarra landa, sem skoða má undir flipanum „Lög og reglur“ á vefsíðunni.
Evrópudómstóllinn hefur ógilt ákvörðun framkvæmdastjórnar Evrópusambandsins, nr. 2016/1250, sem fjallar um fullnægjandi vernd persónuupplýsinga samkvæmd Privacy Shield-samkomulagi Evrópusambandsins og Bandaríkjanna, en samkomulagið felur í sér að flutningur persónuupplýsinga til fyrirtækja í Bandaríkjunum sem hafa farið í gegnum tiltekið ferli og fengið skráningu á þar til gerðan lista bandaríska viðskiptaráðuneytisins hefur verið talinn öruggur.
Ef viðtökulandið telst ekki öruggt þriðja ríki eða fyrirtækið öruggt viðtökufyrirtæki er ekki heimilt að flytja þangað persónuupplýsingar nema gerðar hafi verið tilteknar verndarráðstafanir, svo sem með því að fyrirtækið hefur sett sér bindandi fyrirtækjareglur, fylgir stöðluðum ákvæðum um persónuvernd eða viðurkenndum hátternisreglum.
Að öðru leyti er flutningur persónuupplýsinga úr landi almennt óheimill, þ.e. ef viðkomandi ríki veitir persónuupplýsingum ekki fullnægjandi vernd. Frá þessu eru þó takmarkaðar undanþágur vegna sérstakra aðstæðna, t.a.m. ef fyrir liggur upplýst samþykki þitt fyrir flutningi persónuupplýsinga um þig, ef miðlun er nauðsynleg vegna framkvæmdar samnings milli þín og ábyrgðaraðila (þ.e. þess aðila sem ber ábyrgð á flutningnum) eða ef miðlun er nauðsynleg vegna mikilvægra almannahagsmuna. Áhersla skal þó lögð á að undanþágur persónuverndarlaga geta aðeins rennt stoðum undir flutning persónuupplýsinga í mjög afmörkuðum tilvikum, og að þær persónuupplýsingar sem fluttar eru með þessum hætti njóta einungis verndar samkvæmt löggjöf þess ríkis sem þær eru sendar til.
Er mér óhætt að geyma mín persónulegu gögn í tölvuskýi?
Hver og einn verður að meta fyrir sig hvort hann vill geyma myndir og önnur gögn í tölvuskýi. Þegar þú vilt geyma gögnin þín í skýi eru nokkur atriði sem gott er að skoða, t.d.:
· Er viðkomandi fyrirtæki með persónuverndarstefnu? Þar ættir þú t.d. að geta nálgast upplýsingar um hvort og hverjir sjái gögnin þín, hvort þriðju aðilar (t.d. auglýsendur) fái aðgang að upplýsingunum þínum og hvað gerist þegar þú eyðir gögnum af skýinu.
· Er tölvuskýið með ISO 270001:2013 vottun eða jafnvel sérstaka evrópska persónuverndarvottun? Margir af stærstu skýjaveitendum í dag eru með ISO vottun.
· Eru gögnin vistuð innan EES eða í öruggu þriðja ríki?