Allar spurningar og svör

Flutningur persónuupplýsinga úr landi

Flutningur persónuupplýsinga úr landi, t.d. í tölvuský, er aðeins heimill ef lög viðtökuríkisins veita persónuupplýsingum fullnægjandi vernd.

Má mitt fyrirtæki eða stofnun flytja persónuupplýsingar úr landi?

Flutningur persónuupplýsinga úr landi, t.d. í tölvuský, er aðeins heimill ef lög viðtökuríkisins veita persónuupplýsingum fullnægjandi vernd. Þau skilyrði uppfylla öll lönd innan EES-svæðisins auk þeirra landa sem Persónuvernd hefur auglýst sem örugg þriðju lönd en lista yfir þau má nálgast í auglýsingu Persónuverndar um flutning persónuupplýsinga til annarra landa, sem skoða má undir flipanum „Lög og reglur“ á vefsíðunni.

 

Sérstakt fyrirkomulag gildir um Bandaríkin en heimilt er að flytja persónuupplýsingar frá EES-svæðinu, þ.m.t. frá Íslandi, til fyrirtækja í Bandaríkjunum sem hafa farið í gegnum tiltekið ferli og fengið skráningu á Privacy Shield-lista bandaríska viðskiptaráðuneytisins. Þann fyrirvara verður þó að gera við Privacy Shield að eftirlitsaðilar í Evrópu og Evrópuþingið hafa gert veigamiklar athugasemdir við umrætt fyrirkomulag og lýst efasemdum um að það fullnægi þeim kröfum sem gerðar eru í evrópskri persónuverndarlöggjöf. Þá er rétt að ítreka að samkomulagið felur ekki í sér að Bandaríkin í heild sinni teljist öruggt þriðja ríki, heldur eingöngu að þau fyrirtæki sem hafa fengið skráningu á framangreindan lista teljist örugg.

 

Ef viðtökulandið telst ekki öruggt þriðja ríki eða fyrirtækið öruggt viðtökufyrirtæki í Bandaríkjum er ekki heimilt að flytja þangað persónuupplýsingar nema gerðar hafi verið tilteknar verndarráðstafanir, svo sem með því að fyrirtækið hafi sett sér bindandi fyrirtækjareglur, fylgi stöðluðum ákvæðum um persónuvernd eða viðurkenndum hátternisreglum.

Að öðru leyti er flutningur persónuupplýsinga úr landi almennt óheimill. Frá þessu eru þó takmarkaðar undanþágur vegna sérstakra aðstæðna, t.a.m. ef fyrir liggur upplýst samþykki hins skráða fyrir flutningnum, ef miðlun er nauðsynleg vegna framkvæmdar samnings milli hins skráða og ábyrgðaraðila eða ef miðlun er nauðsynleg vegna mikilvægra almannahagsmuna. Áhersla skal þó lögð á að undanþágur persónuverndarlaga geta aðeins rennt stoðum undir flutning persónuupplýsinga í mjög afmörkuðum tilvikum, og að þær persónuupplýsingar sem fluttar eru með þessum hætti njóta einungis verndar samkvæmt löggjöf þess ríkis sem þær eru sendar til.


Fáni EvrópusambandsinsVinnsla þessara spurninga og svara var fjármögnuð af Evrópusambandinu - The European Union's Rights, Equality and Citizenship Programme (2014-2020)

Spurningarnar og svörin eru unnin af Persónuvernd sem ber fulla ábyrgð á þeim. Framkvæmdastjórn Evrópusambandsins ber enga ábyrgð á notkun þeirra upplýsinga sem svörin hafa að geyma.


Var efnið hjálplegt? Nei