Flutningur persónuupplýsinga úr landi
Flutningur persónuupplýsinga úr landi, t.d. í tölvuský, er aðeins heimill ef lög viðtökuríkisins veita persónuupplýsingum fullnægjandi vernd.
Má mitt fyrirtæki eða stofnun flytja persónuupplýsingar úr landi?
Flutningur persónuupplýsinga úr
landi, t.d. í tölvuský, er aðeins heimill ef lög viðtökuríkisins veita
persónuupplýsingum fullnægjandi vernd. Þau skilyrði uppfylla öll lönd innan
EES-svæðisins auk þeirra landa sem Persónuvernd hefur auglýst sem örugg þriðju
lönd en lista yfir þau má nálgast í auglýsingu
Persónuverndar um flutning persónuupplýsinga til annarra landa. Persónuvernd
vekur þó athygli á því að með dómi í máli nr. C-311/18 (Schrems II ), sem
kveðinn var upp þann 15. júlí 2020, ógilti Evrópudómstóllinn ákvörðun
framkvæmdarstjórnarinnar (ESB) 2106/1250, sem vísað er til í 2. gr. auglýsingarinnar.
Ákvörðunin fól í sér að flutningur persónuupplýsinga til fyrirtækja í
Bandaríkjunum, sem höfðu farið í gegnum tiltekið ferli og fengið skráningu á
svokallaðan Privacy Shield-lista bandaríska viðskiptaráðuneytisins, var talinn
öruggur. Persónuvernd hefur birt frétt
um dóminn ásamt tenglum á fréttatilkynningu dómstólsins, dómstextann í heild
sem og yfirlýsingu Evrópska persónuverndarráðsins. Áhrif dómsins á framkvæmd
við flutning persónuupplýsinga til Bandaríkjanna eru enn ekki að fullu ljós en
Persónuvernd mun uppfæra upplýsingar á vefsíðu sinni þar að lútandi eftir því
sem við á.
Ef viðtökulandið telst ekki öruggt þriðja ríki eða er ekki heimilt að flytja þangað persónuupplýsingar nema gerðar hafi verið tilteknar varúðarráðstafanir. Má þar nefna að fyrirtækið hafi sett sér bindandi fyrirtækjareglur, fylgi stöðluðum samningsskilmálum um persónuvernd eða viðurkenndum hátternisreglum. Nánari leiðbeiningar um hverju þurfi að huga að við flutning persónuupplýsinga til óöruggra þriðju ríkja má finna á vefsíðu Evrópska persónuverndarráðsins.
Að öðru leyti er flutningur persónuupplýsinga úr landi almennt óheimill. Frá þessu eru þó takmarkaðar undanþágur vegna sérstakra aðstæðna, t.a.m. ef fyrir liggur upplýst samþykki hins skráða fyrir flutningnum, ef miðlun er nauðsynleg vegna framkvæmdar samnings milli hins skráða og ábyrgðaraðila eða ef miðlun er nauðsynleg vegna mikilvægra almannahagsmuna. Áhersla skal þó lögð á að undanþágur persónuverndarlaga geta aðeins rennt stoðum undir flutning persónuupplýsinga í mjög afmörkuðum tilvikum, og að þær persónuupplýsingar sem fluttar eru með þessum hætti njóta einungis verndar samkvæmt löggjöf þess ríkis sem þær eru sendar til.
Að hverju þarf að huga þegar flutningur persónuupplýsinga byggist á stöðluðum samningsskilmálum?
Þegar flutningur persónuupplýsinga byggist á stöðluðum samningsskilmálum þarf flutningsaðili að tryggja að skilmálarnir veiti sambærilega vernd og almenna persónuverndarreglugerðin kveður á um. Við ákvörðun um hvort undirgangast skuli staðlaða samningsskilmála þurfi ábyrgðaraðilar, sem hyggjast flytja persónuupplýsingar út fyrir EES-svæðið, því að leggja mat á hvort viðtökulandið veiti fullnægjandi vernd. Við slíkt mat skal meðal annars höfð hliðsjón af efni hinna stöðluðu samningsskilmála, aðstæðum við flutninginn (e. specific circumstances of the transfer) og lagaumhverfi viðtökulandsins. Í því sambandi skal litið til þeirra þátta sem tilgreindir eru í 2. mgr. 45. gr. almennu persónuverndarreglugerðarinnar, en sú tilgreining sé ekki tæmandi.
Framkvæmdastjórn Evrópusambandsins hefur gefið út staðlaða samningsskilmála sem hægt er að nota við framangreindar aðstæður.
Vinnsla þessara spurninga og svara var styrkt af Evrópusambandinu - The European Union's Rights, Equality and Citizenship Programme (2014-2020)