Allar spurningar og svör

Flutningur persónuupplýsinga úr landi

Flutningur persónuupplýsinga úr landi, t.d. í tölvuský, er aðeins heimill ef lög viðtökuríkisins veita persónuupplýsingum fullnægjandi vernd.

Má mitt fyrirtæki eða stofnun flytja persónuupplýsingar úr landi?

Flutningur persónuupplýsinga úr landi, t.d. í tölvuský, er aðeins heimill ef lög viðtökuríkisins veita persónuupplýsingum fullnægjandi vernd. Þau skilyrði uppfylla öll lönd innan EES-svæðisins auk þeirra landa sem Persónuvernd hefur auglýst sem örugg þriðju lönd en lista yfir þau má nálgast í auglýsingu Persónuverndar um flutning persónuupplýsinga til annarra landa. Persónuvernd vekur þó athygli á því að með dómi í máli nr. C-311/18 (Schrems II ), sem kveðinn var upp þann 15. júlí 2020, ógilti Evrópudómstóllinn ákvörðun framkvæmdarstjórnarinnar (ESB) 2106/1250, sem vísað er til í 2. gr. auglýsingarinnar. Ákvörðunin fól í sér að flutningur persónuupplýsinga til fyrirtækja í Bandaríkjunum, sem höfðu farið í gegnum tiltekið ferli og fengið skráningu á svokallaðan Privacy Shield-lista bandaríska viðskiptaráðuneytisins, var talinn öruggur. Persónuvernd hefur birt frétt um dóminn ásamt tenglum á fréttatilkynningu dómstólsins, dómstextann í heild sem og yfirlýsingu Evrópska persónuverndarráðsins. Áhrif dómsins á framkvæmd við flutning persónuupplýsinga til Bandaríkjanna eru enn ekki að fullu ljós en Persónuvernd mun uppfæra upplýsingar á vefsíðu sinni þar að lútandi eftir því sem við á.

Ef viðtökulandið telst ekki öruggt þriðja ríki eða er ekki heimilt að flytja þangað persónuupplýsingar nema gerðar hafi verið tilteknar varúðarráðstafanir. Má þar nefna að fyrirtækið hafi sett sér bindandi fyrirtækjareglur, fylgi stöðluðum samningsskilmálum um persónuvernd eða viðurkenndum hátternisreglum. Nánari leiðbeiningar um hverju þurfi að huga að við flutning persónuupplýsinga til óöruggra þriðju ríkja má finna á vefsíðu Evrópska persónuverndarráðsins

Að öðru leyti er flutningur persónuupplýsinga úr landi almennt óheimill. Frá þessu eru þó takmarkaðar undanþágur vegna sérstakra aðstæðna, t.a.m. ef fyrir liggur upplýst samþykki hins skráða fyrir flutningnum, ef miðlun er nauðsynleg vegna framkvæmdar samnings milli hins skráða og ábyrgðaraðila eða ef miðlun er nauðsynleg vegna mikilvægra almannahagsmuna. Áhersla skal þó lögð á að undanþágur persónuverndarlaga geta aðeins rennt stoðum undir flutning persónuupplýsinga í mjög afmörkuðum tilvikum, og að þær persónuupplýsingar sem fluttar eru með þessum hætti njóta einungis verndar samkvæmt löggjöf þess ríkis sem þær eru sendar til.

Að hverju þarf að huga þegar flutningur persónuupplýsinga byggist á stöðluðum samningsskilmálum?

Þegar flutningur persónuupplýsinga byggist á stöðluðum samningsskilmálum þarf flutningsaðili að tryggja að skilmálarnir veiti sambærilega vernd og almenna persónuverndarreglugerðin kveður á um. Við ákvörðun um hvort undirgangast skuli staðlaða samningsskilmála þurfi ábyrgðaraðilar, sem hyggjast flytja persónuupplýsingar út fyrir EES-svæðið, því að leggja mat á hvort viðtökulandið veiti fullnægjandi vernd. Við slíkt mat skal meðal annars höfð hliðsjón af efni hinna stöðluðu samningsskilmála, aðstæðum við flutninginn (e. specific circumstances of the transfer) og lagaumhverfi viðtökulandsins. Í því sambandi skal litið til þeirra þátta sem tilgreindir eru í 2. mgr. 45. gr. almennu persónuverndarreglugerðarinnar, en sú tilgreining sé ekki tæmandi.

Framkvæmdastjórn Evrópusambandsins hefur gefið út staðlaða samningsskilmála sem hægt er að nota við framangreindar aðstæður.


Fáni EvrópusambandsinsVinnsla þessara spurninga og svara var styrkt af Evrópusambandinu - The European Union's Rights, Equality and Citizenship Programme (2014-2020)

Spurningarnar og svörin eru unnin af Persónuvernd sem ber fulla ábyrgð á þeim. Framkvæmdastjórn Evrópusambandsins ber enga ábyrgð á notkun þeirra upplýsinga sem svörin hafa að geyma.


Var efnið hjálplegt? Nei