Leyfi til Alcan til flutnings persónuupplýsinga úr landi

Persónuvernd vísar til umsóknar Alcan á Íslandi hf., sem er hluti af Rio Tinto (Rio Tinto plc og Rio Tinto Limited), dags. 6. september 2011, um heimild til miðlunar persónuupplýsinga frá Íslandi til vinnsluaðila (InTouch) í Bandaríkjunum og í Ástralíu vegna uppsetningar á „tilkynningarlínu“ fyrir uppljóstrarnir frá starfsmönnum. Samningar við vinnsluaðila verða með stöðluðum samningsákvæðum í samræmi við 2. mgr. 30. gr. laga nr. 77/2000.

Um framangreint segir í bréfinu:

„Fyrirtækið [Alcan á Íslandi hf.] er hluti af alþjóðlegri fyrirtækjasamsteypu RioTinto, en á vegum hennar er rekin tilkynningarlína, sem á ensku nefnist SPEAK-OUT. Með henni er starfsmönnum gert kleift að gera viðvart um ýmis konar brot á lögum og reglum sem þeir treysta sér ekki til að bera upp við yfirmenn á sínum vinnustað.
Rekstur tilkynningarlínunnar er liður í því að tryggja að Rio Tinto og dótturfélög þess standi við skuldbindingar sínar um að fylgja lögum og reglum í hvívetna, jafnt eigin kröfum og siðareglum sem og landslögum á hverjum stað.
Ítarlega lýsingu á fyrirkomulagi og rekstri tilkynningarlínunnar er að finna í hjálögðu skjali: „Speak-OUT - Programme & Procedures.“

Til að tryggja að rekstur tilkynningarlínunnar samræmist íslenskum lögum og Evrópurétti verða þau mál sem starfsmönnum fyrirtækisins verður heimilt að tilkynna um takmörkuð við eftirfarandi málaflokka, í samræmi við álit um beitingu evrópskra persónuverndarlaga á „flautublástur“, sem vinnuhópur á vegum ESB gaf út árið 2006:
a. Bókhald
b. Innra eftirlit með bókhaldi
c. Endurskoðun á fjárhagsmálum
d. Banka- og fjármálaglæpir (t.d. peningaþvætti)
e. Innherjaviðskipti
f. Mútuþægni/ásakanir um spillingu.“

Um notkun vinnsluaðila segir enn fremur:

„Líkt og önnur fyrirtæki innan Rio Tinto samsteypunnar hefur Alcan á Íslandi hf. samið við erlend þjónustufyrirtæki til að annast móttöku erinda sem berast um tilkynningarlínuna og að áframsenda þau til viðeigandi aðila innan Rio Tinto sem falið hefur verið það hlutverk að rannsaka erindin og eftir atvikum bregðast við þeim. Þjónustufyrirtækin hafa jafnframt milligöngu um upplýsingagjöf um framgang mála til þeirra sem borið hafa upp erindi.

Þjónustuaðilinn sem sér um rekstur tilkynningarlínunnar er fyrirtækið Management Communications Systems Inc., sem rekur starfsemi sína undir heitinu InTouch. Upplýsingar sem berast um tilkynningarlínuna verða meðhöndlaðar af InTouch í Bandaríkjunum. Í tengslum við rekstur kerfisins notast InTouch við símsvörunarþjónustu sem rekin er af fyrirtækinu Behavioural Health Response Worldwide (BHR). Heimilisföng, símanúmer og netföng hjá ofangreindum fyrirtækjum og tengiliðum innan þeirra er að finna í samningi þeirra við Alcan á Íslandi hf. sem fylgir þessari umsókn. Að auki notast InTouch við túlkaþjónustu sem veitt er af fyrirtækinu Language Line Services Inc. (LLS), en það fyrirtæki hefur „data privacy Safe Harbour“ vottun frá viðskiptaráðuneyti Bandaríkjanna.“

Þá kemur eftirfarandi fram:

„Fyrirtæki innan Rio Tinto samsteypunnar hafa ekki innleitt það sem á ensku nefnist „binding corporate rules“ um meðferð persónuupplýsinga. Til að tryggja rétta meðferð slíkra upplýsinga við flutning þeirra milli fyrirtækja samsteypunnar, og til þriðju aðila, notast fyrirtækin þess í stað við stöðluð samningsákvæði („standard contractual clauses“) um meðferð persónuupplýsinga sem viðurkennd eru af framkvæmdastjórn ESB.

Samningurinn sem Alcan á Íslandi hf., InTouch og BHR hafa gert með sér inniheldur ofangreind stöðluð samningsákvæði.

Hvað varðar flutning persónuupplýsinga á milli fyrirtækja innan samsteypunnar hafa móðurfyrirtækin tvö sem saman mynda Rio Tinto, þ.e. Rio Tinto plc. og Rio Tinto Limited, undirritað „yfirlýsingu um flutning persónuupplýsinga“ (e. „Data Transfer Deed“). Yfirlýsingin leggur þær kvaðir á Rio Tinto plc. og Rio Tinto Limited að flytja ekki persónuupplýsingar til dótturfyrirtækja nema í samræmi við ákvæði yfirlýsingarinnar. Yfirlýsingin fylgir með umsókn þessari, ásamt viðauka við hana (e. „Deed of Variation“) sem inniheldur hin stöðluðu samningsákvæði framkvæmdastjórnar ESB um „data controllers“ og „data processors“ eins og þau voru gefin út árið 2010.

Fyrirtæki innan Rio Tinto samseypunnar, þ.m.t. Alcan á Íslandi hf., hafa undirgengist að vera bundin af ofangreindri yfirlýsingu með því að skrifa undir sérstaka yfirlýsingu þess efnis (e. „Deed of Accession to the Data Transfer Deed“. Þessi yfirlýsing af hálfu Alcan á Íslandi hf. fylgir einnig með umsókn þessari.“

Um framkvæmd vinnslunnar segir:

„Þegar og ef starfsmaður Alcan á Íslandi hf. nýtir sér tilkynningarlínuna verður erindið meðhöndlað af InTouch og þjónustuaðilum þess, og síðan áframsent til viðkomandi stjórnanda hjá Rio Tinto til meðferðar. Tveimur stjórnendum  innan Rio Tinto Alcan, sem er álsvið móðurfélagsins Rio Tinto, hefur verið falið að fjalla um þau erindi sem kunna að berast um tilkynningarlínuna frá starfsmönnum Alcan á Íslandi hf. Er annar þeirra í Kanada og hinn í Frakklandi. Ef málsefni gefa tilefni til er einnig mögulegt að erindið verði sent áfram til stjórnenda í London og Ástralíu.

Starfsmenn Alcan á Íslandi hf. munu geta nýtt sér tilkynningarlínuna með því að hringja og fá samband við enskumælandi fulltrúa InTouch/BHR. Í ljósi þess að ekki er unnt að tryggja tafarlausa þjónustu íslenskumælandi túlks verður einnig boðið upp á að starfsmenn á Íslandi hringi í símsvara, hlusti á hljóðupptöku með leiðbeiningum á íslensku og lesi síðan inn erindi sitt á íslensku. Einnig verður unnt að koma erindi á framfæri á þar til gerðu vefsvæði og með því að senda tölvupóst.

Starfsmenn sem bera upp erindi þurfa í öllum tilvikum að gefa upp nafn og símanúmer. Trúnaði er heitið og þeir upplýstir um að nafn þeirra verði ekki gefið upp nema til þeirra sem sjá um að athuga erindið innan Rio Tinto, og/eða til þeirra þriðju aðila sem nauðsynlegt kann að reynast vegna mögulegrar rannsóknar og/eða málsóknar. Tekið er fram að ekki sé hvatt til að notendur línunnar sendi inn erindi undir nafnleynd, en að sé engu að síður farið fram á nafnleynd verði nafn viðkomandi ekki gefið upp til neinna aðila innan Rio Tinto. Hverju erindi er úthlutað málsnúmeri sem sá sem bar upp erindið getur notað til að grennslast fyrir um framvindu málsins.

Gögnum verður eytt innan tveggja mánaða, nema nauðsynlegt reynist að geyma þau lengur til að ljúka málsmeðferð. Gögnum sem tengjast tilhæfulausum ásökunum verður eytt umsvifalaust.[...]“

Í framangreindri umsókn Alcan á Íslandi hf. kemur fram að í fyrsta lagi sé ætlunin að senda persónuupplýsingar til vinnsluaðila í Bandaríkjunum, n.t.t. fyrirtækisins InTouch. Bandaríkin teljast til þeirra þriðju landa, þ.e. landa utan Evrópusambandsins og Evrópska efnahagssvæðisins, sem ekki veita persónuupplýsingum fullnægjandi vernd. InTouch mun notast við tvo aðra vinnsluaðila, n.t.t. símsvörunarþjónustuna Behavioural Health Response Worldwide og túlkaþjónustuna Language Line Services Inc. en túlkaþjónustan hefur hlotið vottun frá bandaríska viðskiptaráðuneytinu sem örugg höfn.

Þá segir í umsókn Alcan á Íslandi hf. að þegar vinnslu persónuupplýsinga ljúki hjá InTouch í Bandaríkjunum verði þær sendar til tveggja stjórnenda hjá Rio Tinto Alcan, álsviði móðurfélagsins Rio Tinto, en þeir eru staðsettir í Frakklandi og Kanada. Frakkland hefur innleitt tilskipun 95/46/EB um vernd einstaklinga í tengslum við vinnslu persónuupplýsinga og um frjálsa miðlun slíkra upplýsinga. Ekki er því þörf á leyfi vegna þeirrar miðlunar. Þá telst Kanada til þeirra þriðju landa, þ.e. landa utan Evrópusambandsins og Evrópska efnahagssvæðisins, sem veitir persónuupplýsingum fullnægjandi vernd í skilningi 29. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga og er því heimilt að flytja persónuupplýsingar þangað, að fullnægðum skilyrðum laganna, sbr. auglýsingu Persónuverndar nr. 228/2010 um flutning persónuupplýsinga til annarra landa.

Enn fremur segir í umsókn Alcan á Íslandi hf. að ef erindi gefi tilefni til þá verði það sent áfram til stjórnenda í London og Ástralíu. Bretland er aðili að Evrópusambandinu og hefur innleitt tilskipun 95/46/EB. Ekki er því þörf á leyfi vegna þeirrar miðlunar. Ástralía telst hins vegar til þeirra þriðju landa, þ.e. landa utan Evrópusambandsins og Evrópska efnahagssvæðisins, sem ekki veita persónuupplýsingum fullnægjandi vernd.

Eins og áður segir teljast Bandaríkin og Ástralía til þeirra þriðju landa sem ekki veita persónuupplýsingum fullnægjandi vernd. Flutningur persónuupplýsinga til slíkra landa er óheimill nema fullnægt sé einhverju þeirra skilyrða sem kveðið er á um í 30. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga, sbr. 1., 2. og 4. mgr. 26. gr. tilskipunar 95/46/EB um vernd einstaklinga í tengslum við vinnslu persónuupplýsinga og um frjálsa miðlun slíkra upplýsinga. Annars vegar er þar um að ræða tiltekin atvik, s.s. samþykki, sem leiða til þess að flutningur persónuupplýsinga er heimill, sbr. 1. mgr. 30. gr. laga nr. 77/2000, og hins vegar að veitt sé leyfi til flutningsins á grundvelli fullnægjandi trygginga fyrir vernd upplýsinganna, sbr. 2. mgr. sömu greinar. Samkvæmt því ákvæði, sbr. einnig 3. gr. auglýsingar nr. 228/2010 um flutning persónuupplýsinga til annarra landa, teljast staðlaðir samningsskilmálar samkvæmt ákvörðunum framkvæmdastjórnar EB, sbr. 4. mgr. 26. gr. tilskipunarinnar, til fullnægjandi trygginga.

Meðal ákvarðana framkvæmdastjórnarinnar um slíka staðlaða samningsskilmála er ákvörðun 2010/187/EB. Skilmálar samkvæmt þeirri ákvörðun eru notaðir þegar viðtakandi upplýsinga í þriðja landi er vinnsluaðili, þ.e. sá sem vinnur með upplýsingar á vegum ábyrgðararaðila, sbr. e-lið 2. gr. tilskipunar 95/46/EB, sbr. 5. tölul. 2. gr. laga nr. 77/2000. Með ábyrgðaraðila er þá átt við þann sem ákveður markmið og aðferðir við vinnsluna, sbr. d-lið 2. gr. tilskipunarinnar, sbr. 4. tölul. 2. gr. laganna. Persónuvernd lítur svo á, miðað við það sem segir í umsókn, að InTouch í Bandaríkjunum og Rio Tinto Limited séu vinnsluaðilar og að Alcan á Íslandi hf. sé ábyrgðaraðili.

Með umsókn Alcan á Íslandi fylgdu samningar með stöðluðum samningsskilmálum samkvæmt þeirri ákvörðun framkvæmdastjórnarinnar, sem að framan greinir, milli Alcan á Íslandi hf. sem sendanda upplýsinga og Management Communications Systems Inc. sem viðtakanda upplýsinga, yfirlýsing Rio Tinto plc. og Rio Tinto Limited um flutning persónuupplýsinga (sem inniheldur staðlaða samningsskilmála samkvæmt ákvörðun framkvæmdastjórnarinnar) og yfirlýsing Alcan á Íslandi hf. um að vera bundin af þeirri yfirlýsingu.

Telur Persónuvernd því að nægilegar tryggingar, sbr. 2. mgr. 30. gr. laga nr. 77/2000, vera veittar fyrir vernd umræddra upplýsinga hjá Management Communication System, Inc. (öðru nafni InTouch), 3100 West Lake Street, Suite 430, Minneapolis, MN 55416, Bandaríkjunum og Rio Tinto Limited, 120 Collins Street, Melbourne 3000, Australia. Með vísan til þess tilkynnist hér með að Persónuvernd hefur ákveðið, með stoð í framangreindu ákvæði laga nr. 77/2000, að veita leyfi til flutnings persónuupplýsinga frá Alcan á Íslandi hf. til framangreindra vinnsluaðila.

Leyfið er bundið eftirfarandi skilyrðum:

1. Að Alcan á Íslandi hf. geri skriflegan samning við InTouch og Rio Tinto Limited í samræmi við ákvörðun framkvæmdastjórnar ESB nr. 2010/87/EB frá 5. febrúar 2010 um stöðluð samningsákvæði vegna flutnings persónuupplýsinga til vinnsluaðila með staðfestu í þriðju löndum samkvæmt tilskipun 95/46/EB. Þá skal skila eintaki af samningnum, undirrituðu af fulltrúum beggja fyrirtækjanna, til Persónuverndar. Óheimilt er að miðla upplýsingum til InTouch og Rio Tinto Limited nema að gerðum slíkum samningi.
2. Ekki verði miðlað öðrum persónuupplýsingum til In Touch og Rio Tinto Limited en: (a) upplýsingum um hugsanleg brot tiltekinna yfirmanna og/eða annarra starfsmanna í tengslum við bókhald, innra eftirlit með bókhaldi, endurskoðun á fjárhagsmálum, banka- og fjármálaglæpi (t.d. peningaþvætti), innherjaviðskipti og mútuþægni eða ásakanir um spillingu og (b) upplýsingum um nafn og símanúmer þess er ber upp erindið.
3. Í samningi sé mælt fyrir um í hvaða tilgangi upplýsingum sé miðlað til In Touch og Rio Tinto Limited, sem og í hvaða tilgangi vinna megi með þær að miðlun lokinni.
4. Einungis skuli vinna með persónuupplýsingar í samræmi við tilgang miðlunarinnar og fyrirmæli ábyrgðaraðila, Alcan á Íslandi hf.
5. Sérstaklega sé mælt fyrir um eyðingu In Touch og Rio Tinto Limited  á upplýsingum sem ekki er lengur nauðsynlegt að varðveita og vinna með í þágu þeirra markmiða sem nefnd eru í 4. tölul. hér að framan. Þetta merkir m.a. að þegar starfsmaður lætur af störfum ber bæði að eyða bankaupplýsingum hans og upplýsingum um símanúmer.
6. Farið verði með umræddar persónuupplýsingar að öllu leyti í samræmi við ákvæði samningsins, m.a. þannig að gætt sé að öryggi upplýsinganna, sbr. 2. viðauka þeirra stöðluðu samningsákvæða sem getið er í 1. tölul.; og að persónuupplýsingum sé ekki miðlað til aðila sem ekki veitir þeim fullnægjandi vernd, sbr. 11. gr. slíkra samninga.
7. Hinum skráða sé veitt fullnægjandi fræðsla í samræmi við 20. gr. og 21. gr. laga nr. 77/2000.
8. Hinn skráði eigi kost á vitneskju um vinnsluna í samræmi við 18. gr. laga nr. 77/2000, sbr. þó takmarkanir samkvæmt 19. gr. sömu laga.
9. Vernd samkvæmt samningnum sé virk.

Að lokum skal tekið fram að leyfið má afturkalla ef í ljós kemur að brotið hafi verið gegn skilmálum þess eða að fullnægjandi tryggingar fyrir vernd persónuupplýsinga séu ekki lengur fyrir hendi.