Upplýsingar til hlutaðeigandi fyrirtækja um safe-harbour-dóm Evrópudómstólsins
Safe-harbour – Upplýsingar til hlutaðeigandi fyrirtækja um safe-harbour-dóm Evrópudómstólsins – Afleiðingar þess að safe-harbour-ákvörðun framkvæmdastjórnar Evrópusambandsins er dæmd ólögmæt – Dómur Evrópudómstólsins í máli C-362/14
EFNI UPPFÆRT 18. JANÚAR 2017:
Heimilt er að flytja persónuupplýsingar til aðila í Bandaríkjunum sem falla undir reglur um friðhelgisskjöld (e. privacy shield) samkvæmt ákvörðun framkvæmdastjórnarinnar 2016/1250 ESB, sbr. nánar 2. gr. auglýsingar Persónuverndar nr. 228/2010 um flutning persónuupplýsinga til annarra landa (með síðari breytingum).
Nánari upplýsingar um Privacy Shield samkomulagið má nálgast á heimasíðu framkvæmdastjórnar ESB.
11. nóvember 2015
Almennar upplýsingar um flutning persónuupplýsinga úr landi
Ef skilyrði laga um persónuvernd og meðferð persónuupplýsinga nr. 77/2000 eru uppfyllt er ábyrgðaraðilum heimilt að flytja persónuupplýsingar til annarra ríkja sem framfylgja tilskipun Evrópusambandsins nr. 95/46/ESB. Það á jafnframt við um ríki eða staði sem Persónuvernd auglýsir í Stjórnartíðindum að virtum ákvörðunum framkvæmdastjórnar Evrópusambandsins.
Óheimilt er að flytja persónuupplýsingar til ríkis sem ekki veitir fullnægjandi persónuupplýsingavernd, nema uppfyllt séu þau skilyrði sem tilgreind eru í 30. gr. persónuverndarlaganna.
Samkvæmt svokallaðri safe-harbour-ákvörðun framkvæmdastjórnar Evrópusambandsins nr. 2000/520/ESB, hinn 26. júlí 2000, var fyrirtækjum heimilt að flytja persónuupplýsingar til fyrirtækja í Bandaríkjunum sem teljast svokallaðar öruggar hafnir. Ákvörðunin var heimiluð með vísan til 6. mgr. 25. gr. í tilskipun 95/46/EB og fól í sér að einstök fyrirtæki sem uppfylltu tilteknar reglur gætu verið skilgreind sem öruggar hafnir fyrir persónuupplýsingar.
Með dómi Evrópudómstólsins frá 6. október sl., var þessi ákvörðun framkvæmdastjórnar Evrópusambandsins dæmd ólögmæt, sbr. mál C-362/14: Maximillian Schrems gegn írsku persónuverndarstofnuninni.
Afleiðingar af dómi Evrópudómstólsins fyrir ábyrgðaraðila sem flytja persónuupplýsingar
Dómur Evrópudómstólsins kemur til með að hafa áhrif á starfsemi þeirra íslensku fyrirtækja sem flytja persónuupplýsingar til Bandaríkjanna á grundvelli safe-harbour-ákvörðunarinnar. Þau fyrirtæki og lögaðilar sem byggja vinnslu sína á persónuupplýsingum á safe harbour verða því að styðjast við aðra heimild við flutning á persónuupplýsingum til Bandaríkjanna.
Persónuvernd upplýsir alla hlutaðeigandi um eftirfarandi:
1. Persónuupplýsingar má ekki lengur flytja til Bandaríkjanna á grundvelli safe-harbour-ákvörðunar framkvæmdastjórnarinnar. Sú ákvörðun sem safe-harbour-reglurnar hvíldu á hefur verið dæmd ólögmæt með dómi Evrópudómstólsins. Dómurinn gildir einnig fyrir íslenska löggjöf með vísan til 2. mgr. 29. gr. laga nr. 77/2000, sem breytt var með 9. gr. laga nr. 90/2001 með hliðsjón af 25. gr. tilskipunar 95/46/EB.
2. Ábyrgðaraðilar, sem flytja persónuupplýsingar til Bandaríkjanna með vísan til safe-harbour-ákvörðunarinnar, þurfa því annaðhvort:
a. að stöðva allan núverandi flutning eða fresta öllum fyrirhuguðum flutningi persónuupplýsinga
eða
b. finna öllum núverandi eða fyrirhuguðum flutningi persónuupplýsinga úr landi stoð í öðrum heimildum laga nr. 77/2000.
Tillögur Persónuverndar
1. Allir sem íhuga að flytja persónuupplýsingar til Bandaríkjanna verða fyrst að kanna hvort hinum almennu skilyrðum fyrir vinnslu slíkra upplýsinga sé fullnægt. Í því felst að hún þarf að falla undir heimildarákvæði í 8. gr. laga nr. 77/2000 og, eftir atvikum, 9. gr. sömu laga. Þá verður vinnsla upplýsinganna, þ. á m. flutningurinn, að fullnægja öllum kröfum 1. mgr. 7. gr. laganna, en þar er mælt fyrir um að þess skuli gætt við vinnslu persónuupplýsinga að þær séu unnar með sanngjörnum, málefnalegum og lögmætum hætti og að öll meðferð þeirra samrýmist vönduðum vinnsluháttum persónuupplýsinga (1. tölul.); að þær séu fengnar í yfirlýstum, skýrum og málefnalegum tilgangi og ekki unnar frekar í öðrum og ósamrýmanlegum tilgangi (2. tölul.); að þær séu nægilegar, viðeigandi og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar (3. tölul.); að þær séu áreiðanlegar og uppfærðar eftir þörfum (4. tölul.); og að þær séu varðveittar í því formi að ekki sé unnt að bera kennsl á hina skráðu lengur en þörf krefur miðað við tilgang vinnslu (5. tölul.).
2. Því næst þarf viðkomandi ábyrgðaraðili að meta áhættu af flutningi upplýsinganna í samræmi við 11. gr. laga nr. 77/2000 og 3. tölul. 1. mgr. 3. gr. reglna nr. 299/2001 um öryggi persónuupplýsinga. Það hvort upplýsingarnar séu viðkvæmar getur haft grundvallarþýðingu í því sambandi.
3. Ef kröfum 7.–9. gr. laga nr. 77/2000 er fullnægt, og niðurstaða áhættumats er jákvæð, getur flutningurinn verið heimill á grundvelli einhverrar af undanþágum 1. mgr. 30. gr. laga nr. 77/2000 frá banni við flutningi persónuupplýsinga til landa sem veita ekki fullnægjandi persónuupplýsingavernd. Nánar tiltekið er þar mælt fyrir um að flutningur sé heimill:
1. hafi hinn skráði samþykkt flutninginn;
2. slíkt sé nauðsynlegt til efnda á þjóðréttarskuldbindingum eða vegna aðildar Íslands að alþjóðastofnun;
3. heimild standi til slíks flutnings í öðrum lögum;
4. afhendingin sé nauðsynleg til að gera eða efna samning milli hins skráða og ábyrgðaraðila;
5. flutningurinn sé nauðsynlegur til að gera eða efna samning í þágu hins skráða;
6. afhendingin sé nauðsynleg til að verja verulega hagsmuni hins skráða;
7. miðlun sé nauðsynleg eða fyrirskipuð samkvæmt lögum vegna þess að brýnir almannahagsmunir krefjist þess eða til að unnt sé að stofna, hafa uppi eða verja réttarkröfur; eða
8. um sé að ræða upplýsingar sem almennur aðgangur er að.
4. Persónuvernd leggur áherslu á að undanþágur 1. mgr. 30. gr. persónuverndarlaga geta aðeins rennt stoðum undir flutning persónuupplýsinga í mjög afmörkuðum tilvikum. Það er í samræmi við tilmæli vinnuhóps samkvæmt 29. gr. tilskipunar 95/46/EB. Hafa skal hugfast að flutningur á persónuupplýsingum á grundvelli undanþáguheimildar er á ábyrgð þess sem sendir upplýsingarnar, og að þær persónuupplýsingar sem fluttar eru með þessum hætti njóta einungis verndar samkvæmt löggjöf þess ríkis sem þær eru sendar til. Persónuvernd bendir á að ríki, þar sem aðgangur stjórnvalda að persónuupplýsingum er umfram nauðsyn í lýðræðisþjóðfélagi, er ekki metið öruggur móttakandi slíka upplýsinga eins og fram kemur í tilmælunum. Einnig bendir Persónuvernd á að þegar aflað er samþykkis fyrir vinnslu persónuupplýsinga, þ. á m. flutningi þeirra til þriðja lands, ber sem endranær að gæta að fyrrnefndum kröfum 7. gr. laga nr. 77/2000 um meðal annars sanngirni og meðalhóf við vinnslu persónuupplýsinga. Þá bendir Persónuvernd á að senda skal stofnuninni tilkynningu um flutning persónuupplýsinga samkvæmt umræddu ákvæði laga nr. 77/2000, sbr. 31. og 32. gr. sömu laga.
5. Ef engin af undanþágum 1. mgr. 30. gr. laga nr. 77/2000 á við verður flutningur að byggjast á leyfi Persónuverndar samkvæmt 2. mgr. laga sömu greinar. Ákvæðið gerir ráð fyrir að Persónuvernd geti í afmörkuðum tilfellum heimilað flutning upplýsinga til ríkis er greinir í 1. mgr. 30. gr., telji hún sérstök rök mæla með því, jafnvel þótt skilyrðum ákvæðisins sé ekki fullnægt. Slíkt er háð því að ábyrgðaraðili hafi, að mati stofnunarinnar, veitt nægilegar tryggingar fyrir slíku. Getur stofnunin t.d. áskilið að ábyrgðaraðili hafi gert við viðtökuaðila skriflegan samning sem hafi að geyma tiltekin stöðluð samningsákvæði í samræmi við ákvörðun sem Persónuvernd hefur auglýst í Stjórnartíðindum, að teknu tilliti til ákvarðana framkvæmdastjórnar Evrópusambandsins, sbr. 2. mgr. 29. gr. laganna. Með undirritun slíkra samningsskilmála gengst sá sem tekur við persónuupplýsingum undir að uppfylla skilyrði í samræmi við lög og reglugerðir Evrópusambandsins á þessu sviði. Stöðluðu samningsskilmálana má nálgast hér.
6. Bindandi fyrirtækjareglur (e. Binding Corporate Rules (BCR)) geta einnig uppfyllt skilyrði laga um flutning persónuupplýsinga úr landi. Hvorki í lögum nr. 77/2000 né í Evrópusambandslöggjöf er að finna ákvæði þess efnis að bindandi fyrirtækjareglur séu fullnægjandi heimild til flutnings persónuupplýsinga úr landi. Í framkvæmd hefur hins vegar verið litið svo á að slíkar reglur, sem handhægar eru þegar flytja á upplýsingar til margra landa, tryggi fullnægjandi vernd persónuupplýsinga við flutning úr landi. Þarf flutningur á grundvelli þeirra að byggjast á leyfi Persónuverndar samkvæmt áðurnefndu ákvæði 2. mgr. 30. gr. laga nr. 77/2000. Nálgast má frekari upplýsingar um bindandi fyrirtækjareglur á heimasíðu vinnuhóps skv. 29. grein tilskipunar 95/46.
7. Persónuvernd vekur jafnframt athygli á að nánari ákvæði um tilkynningar- og leyfisskyldu, sbr. 4.–6. tölul. hér að framan, er að finna í reglum nr. 712/2008 um tilkynningarskylda og leyfisskylda vinnslu persónuupplýsinga. Í leyfisumsóknum og tilkynningum er nauðsynlegt að gefa greinargóða lýsingu á viðkomandi vinnslu persónuupplýsinga
Hvað telst vera flutningur persónuupplýsinga úr landi?
Það athugast að framangreind lagaákvæði eiga við ef um er að ræða eiginlegan flutning persónuupplýsinga til annars lands. Miðlun upplýsinga með birtingu á Internetinu eða með því að gera upplýsingar aðgengilegar almenningi með viðlíka hætti í öðrum löndum myndi yfirleitt ekki falla undir framangreind lagaákvæði. Þá má einnig benda á að miðlun upplýsinga með tölvupósti til viðtakanda utan Íslands getur talist vera miðlun persónuupplýsinga úr landi, en miðlun upplýsinga til viðtakanda á Íslandi, telst almennt ekki vera miðlun persónuupplýsinga úr landi þrátt fyrir að upplýsingarnar fari í gegnum tölvupóstþjón sem staddur er erlendis.
Samningaviðræður ESB og Bandaríkjanna
Framkvæmdastjórn Evrópusambandsins og bandarísk stjórnvöld eiga í viðræðum til að komast að samkomulagi um nægilega vernd á flutningi persónuupplýsinga til Bandaríkjanna. Vinnuhópur skv. 29. gr. tilskipunar 95/46 hefur í fréttatilkynningu hvatt aðildarlönd EES og stofnanir Evrópusambandsins til að ræða stöðu þessara mála við bandarísk yfirvöld í því skyni að finna pólitísk, lagaleg og tæknileg úrræði sem gætu auðveldað flutning persónuupplýsinga til Bandaríkjanna og sem jafnframt tryggja grundvallarréttindi borgara í Evrópu.
Samningur um vernd evrópskra persónuupplýsinga sem sendar eru til Bandaríkjanna þarf að liggja fyrir eigi síðar en 31. janúar 2016. Að öðrum kosti munu evrópskar persónuverndarstofnanir þurfa að beita eftirlitsheimildum sínum og takmarka flutning á persónuupplýsingum til Bandaríkjanna, sbr. ákvörðun fyrrnefnds vinnuhóps frá 16. október sl.
Persónuvernd mun fylgjast með framvindu þessa máls og uppfæra fregnir þar um á heimasíðu sinni. Að lokum áréttar Persónuvernd mikilvægi þess að ábyrgðaraðilar geri sér grein fyrir að vernd persónuupplýsinga telst til grundvallarmannréttinda og að ætíð ber að tryggja að þær fái viðeigandi vernd.
Fréttatilkynningu Evrópudómstólsins má nálgast hér.