Fréttir
Álit 29. gr. hópsins um lagaskil
Hinn 16. desember 2010 samþykkti 29. gr. starfshópurinn álit hvað varðar lagaskil. Í álitinu er að finna leiðbeiningar um hvernig lagaskilum skuli háttað þegar ábyrgðaraðili hefur staðfestu annað hvort innan eða utan EES-svæðisins.
Hinn 16. desember 2010 samþykkti 29. gr. starfshópurinn álit hvað varðar lagaskil. Í álitinu er að finna leiðbeiningar um hvernig lagaskilum skuli háttað þegar ábyrgðaraðili hefur staðfestu annað hvort innan eða utan EES-svæðisins.
Í þessu áliti er farið ítarlega yfir 4. gr. tilskipunar 95/46/EB (sem lög nr. 77/2000 byggist á). Ákvæði 4. gr. fjallar um lagaskil til þess að tryggja réttaröryggi og koma í veg fyrir gloppur í framkvæmd aðildarríkja varðandi vernd persónuupplýsinga.
Samkvæmt a-lið 1. mgr. 4. gr. tilskipunarinnar skulu aðildarríki beita innlendum lögum, þegar um er að ræða vinnslu persónuupplýsinga í tengslum við starfsemi ábyrgðaraðila, sem hefur staðfestu á yfirráðasvæði aðildarríkis.
Í álitinu tekur starfshópurinn m.a. fram að helsta álitaefnið sé þegar einn ábyrgðaraðili hefur staðfestu á yfirráðasvæði margra aðildarríkja og þarf þá að uppfylla þær skyldur sem mælt er fyrir um í lögum um persónuvernd hjá hverju og einu landi. Að mati starfshópsins skiptir grundvallarmáli að líta til þess hvar raunveruleg vinnsla og framkvæmd fer fram. Það sem ræður þá úrslitum er hvort starfsemin sé svo umfangsmikil og varanleg að eðlilegt sé að beita um hana lögum viðkomandi ríkis. Með þessu er ítrekar starfshópurinn að nálgunin verði að vera hagnýt og raunsæ.
Samkvæmt c-lið 1. mgr. 4. gr. tilskipunarinnar skulu aðildarríki beita innlendum persónuverndarlögum, þegar um er að ræða vinnslu persónuupplýsinga ábyrgðaraðila sem ekki hefur staðfestu á yfirráðasvæði bandalagsins og notar stafrænan búnað eða annan búnað, sem er staðsettur á yfirráðasvæði umrædds aðildarríkis, til vinnslu persónuupplýsinga. Þetta á hins vegar ekki við sé búnaðurinn einungis notaður til flutnings um yfirráðasvæði aðildarríkisins.
Í álitinu kemur fram að þegar ábyrgðaraðili hefur staðfestu utan EES-svæðisins skuli líta til þess hvort markhópur þeirrar þjónustu sem ábyrgðaraðili býður upp á sé aðgreindur hópur innan EES-svæðisins. Í slíkum tilvikum skal sérstaklega líta til þess hvort þjónusta sem ábyrgðaraðili býður uppá sé á tungumáli einhvers aðildarríkis EES, hvort auglýsingar séu birtar í aðildarríki EES eða hvort krafist sé greiðslukorts frá einhverju aðildarríki innan EES.
Í niðurstöðu álitsins kemur einnig fram að þörf er á að samræma orðalag í lögum aðildarríkja hvað varðar lagaskilin.
Álit 29. gr. starfshópsins um lagaskil er að finna hér.
Í þessu áliti er farið ítarlega yfir 4. gr. tilskipunar 95/46/EB (sem lög nr. 77/2000 byggist á). Ákvæði 4. gr. fjallar um lagaskil til þess að tryggja réttaröryggi og koma í veg fyrir gloppur í framkvæmd aðildarríkja varðandi vernd persónuupplýsinga.
Samkvæmt a-lið 1. mgr. 4. gr. tilskipunarinnar skulu aðildarríki beita innlendum lögum, þegar um er að ræða vinnslu persónuupplýsinga í tengslum við starfsemi ábyrgðaraðila, sem hefur staðfestu á yfirráðasvæði aðildarríkis.
Í álitinu tekur starfshópurinn m.a. fram að helsta álitaefnið sé þegar einn ábyrgðaraðili hefur staðfestu á yfirráðasvæði margra aðildarríkja og þarf þá að uppfylla þær skyldur sem mælt er fyrir um í lögum um persónuvernd hjá hverju og einu landi. Að mati starfshópsins skiptir grundvallarmáli að líta til þess hvar raunveruleg vinnsla og framkvæmd fer fram. Það sem ræður þá úrslitum er hvort starfsemin sé svo umfangsmikil og varanleg að eðlilegt sé að beita um hana lögum viðkomandi ríkis. Með þessu er ítrekar starfshópurinn að nálgunin verði að vera hagnýt og raunsæ.
Samkvæmt c-lið 1. mgr. 4. gr. tilskipunarinnar skulu aðildarríki beita innlendum persónuverndarlögum, þegar um er að ræða vinnslu persónuupplýsinga ábyrgðaraðila sem ekki hefur staðfestu á yfirráðasvæði bandalagsins og notar stafrænan búnað eða annan búnað, sem er staðsettur á yfirráðasvæði umrædds aðildarríkis, til vinnslu persónuupplýsinga. Þetta á hins vegar ekki við sé búnaðurinn einungis notaður til flutnings um yfirráðasvæði aðildarríkisins.
Í álitinu kemur fram að þegar ábyrgðaraðili hefur staðfestu utan EES-svæðisins skuli líta til þess hvort markhópur þeirrar þjónustu sem ábyrgðaraðili býður upp á sé aðgreindur hópur innan EES-svæðisins. Í slíkum tilvikum skal sérstaklega líta til þess hvort þjónusta sem ábyrgðaraðili býður uppá sé á tungumáli einhvers aðildarríkis EES, hvort auglýsingar séu birtar í aðildarríki EES eða hvort krafist sé greiðslukorts frá einhverju aðildarríki innan EES.
Í niðurstöðu álitsins kemur einnig fram að þörf er á að samræma orðalag í lögum aðildarríkja hvað varðar lagaskilin.
Álit 29. gr. starfshópsins um lagaskil er að finna hér.