Aðgerða er þörf - flutningur persónuupplýsinga utan EES

LOGOS sendi í dag út fréttabréf til þeirra sem skráðir eru á póstlista um persónuverndarmál.

Nærmynd af lyklaborði með merkinu „GDPR“

Fyrr í nóvember gaf Evrópska persónuverndarráðið út drög að leiðbeiningum er varða aðgerðir sem grípa þarf til svo hægt sé að tryggja öruggan flutning persónuupplýsinga utan Evrópska efnahagssvæðisins („EES“). Leiðbeiningar þessar koma í framhaldi af dómi Evrópudómstólsins í svokölluðu Schrems II máli frá sl. sumri, en þar komst dómstóllinn að þeirri niðurstöðu að þær ráðstafanir sem áður voru taldar fullnægjandi séu það ekki lengur.

Öll fyrirtæki og stofnanir sem hýsa persónuupplýsingar utan EES (s.s. í skýjalausnum), veita aðila utan EES aðgang að persónuupplýsingum í kerfum sínum (t.a.m. móðurfélagi sínu) eða flytja þangað persónuupplýsingar með öðrum hætti, verða að grípa til aðgerða.

Til að hægt sé að flytja persónuupplýsingar utan EES verður sá aðili sem flytur upplýsingarnar að hafa gripið til ákveðinna verndarráðstafana ef viðkomandi land hefur ekki verið sérstaklega tilgreint af persónuverndaryfirvöldum sem öruggt. Í framkvæmd er algengast að flutningurinn byggi á svokölluðum stöðluðum samningsskilmálum sem sá er flytur upplýsingarnar og móttakandi þeirra hafa innleitt í samning sín á milli. Slíkt fyrirkomulag hefur verið við lýði í mörg ár. Þá hafa íslensk fyrirtæki jafnframt í töluverðum mæli byggt flutning til Bandaríkjanna á svokölluðum öryggisskildi.

Með áðurnefndum Schrems II dómi ógilti Evrópudómstóllinn hins vegar öryggisskjöldinn og komst að þeirri niðurstöðu að það sé ekki fullnægjandi að skrifa undir staðlaða samningsskilmála heldur verði aðilarnir að sannreyna hvort löggjöf eða réttarframkvæmd viðkomandi ríkis utan EES, sem flytja á upplýsingarnar til, hafi áhrif á þá vernd sem stöðluðu samningsskilmálunum er ætlað að veita. Þannig geti komið til þess að aðilarnir þurfi, auk skilmálanna, að innleiða sérstakar verndarráðstafanir.

Tilgangur leiðbeininga Evrópska persónuverndarráðsins, sem nú hafa verið birtar í drögum, er að aðstoða aðila við að meta til hvaða ráðstafana þurfi að grípa. Koma þar til skoðunar tæknilegar ráðstafanir (s.s. dulkóðun upplýsinga áður en þær eru fluttar úr landi eða notkun gerviauðkenna), skipulagslegar ráðstafanir sem og viðbótarsamningar.

Til þess að geta metið hvort og þá til hvaða viðbótarráðstafana þurfi að grípa, og hvort yfir höfuð sé hægt að grípa til fullnægjandi ráðstafana, leggur ráðið til að aðilar sem vilja flytja persónuupplýsingar utan EES fari í gegnum eftirfarandi skref:

Skref 1 - kortlagning

Mikilvægt er að átta sig á hvort og þá hvaða flutningur persónuupplýsinga utan EES á sér stað. Gott er að rifja upp vinnsluskránna og skoða hvort frekari kortlagning þurfi að eiga sér stað.

Skref 2 - grundvöllur miðlunar

Skoða þarf á hvaða grundvelli flutningurinn byggir. Ef hann byggir á stöðluðum samningsskilmálum er mikilvægt að halda áfram í næstu skref. Það sama á við ef fyrirtæki og stofnanir hafa byggt á öryggisskildinum en þurfa í kjölfar ógildingar hans að grípa til staðlaðra samningsskilmála til grundvallar flutningnum.

Skref 3 - mat á löggjöf þriðja ríkis

Þriðja skrefið felst í því að meta hvort eitthvað í lögum þriðja ríkis eða réttarframkvæmd þess dragi úr virkni þeirra verndarráðstafana sem stöðluðu samningsskilmálunum er ætlað að veita. Það er á ábyrgð þess aðila sem ætlar að miðla upplýsingunum að meta þetta í hverju tilviki. Á þetta meðal annars við þegar yfirvöldum viðkomandi ríkis eru veitt úrræði til að nálgast persónuupplýsingar umfram það sem telst nauðsynlegt í lýðræðisríki. Víðtækar heimildir yfirvalda í Bandaríkjunum, á grundvelli laga („Foreign Intelligence Surveillance Act“), hafa t.a.m. verið nefnd sem dæmi.

Skref 4 - ákvörðun um ráðstafanir

Ef niðurstaðan er sú að lög eða réttarframkvæmd þriðja ríkis hefur áhrif á vernd persónuupplýsinga þeirra sem á að flytja þarf að meta hvort hægt sé að grípa til viðbótarráðstafna til að koma í veg fyrir slíka áhættu og ef svo er þarf að ákveða til hvaða verndarráðstafana skuli grípa.

Skref 5 og 6 - formkröfur og endurmat

Fimmta og sjötta skrefið fela svo í sér að tryggja að formkröfur séu uppfylltar, s.s. ef afla þarf samþykkis Persónuverndar í tengslum við flutninginn að afla þá þess, að endurmeta flutninginn með reglubundnum hætti sem og að fylgjast með þróun löggjafar í því ríki sem upplýsingarnar eru fluttar til.

Af ofangreindum skrefum má sjá að mikil ábyrgð er lögð á þá aðila sem flytja þurfa persónuupplýsingar utan EES. Gerð er krafa um að aðilar kynni sér með ítarlegum hætti löggjöf viðkomandi ríkis sem og framkvæmdina þar, s.s. hvað varðar aðgang eftirlitsaðila að upplýsingum sem ekki endilega byggir á skýrri lagaheimild.

Þá kann niðurstaðan að vera sú að ekki sé heimilt að flytja upplýsingarnar utan EES þar sem ómögulegt sé að grípa til fullnægjandi viðbótarráðstafana til að tryggja vernd. Í drögum Evrópska persónuverndarráðsins eru nefnd tvö dæmi sem kunna að hafa gríðarleg áhrif á íslensk fyrirtæki.

Fyrrnefnda dæmið lítur að notkun skýjalausna þar sem upplýsingar eru hýstar í Bandaríkjunum. Vegna víðtækra heimilda bandarískra yfirvalda til að afla sér aðgangs að upplýsingum í fórum aðila með staðfestu í Bandaríkjunum telur ráðið að evrópsk félög geti ekki hýst upplýsingar í Bandaríkjunum nema að þær séu dulkóðaðar og að hýsingaraðili hafi enga leið til að breyta upplýsingunum í lesanlegt form. Venjuleg hýsing í Bandaríkjunum, eða öðrum ríkjum utan EES þar sem stjórnvöld hafa jafn víðtækar heimildir og í Bandaríkjunum, kemur því ekki til greina.

Síðarnefnda dæmið lítur að aðgangi bandarískra aðila að skjalavörslukerfi fyrirtækjasamstæðu þar sem finna má upplýsingar um evrópska ríkisborgara. Þar undir myndi falla aðgangur að mannauðskerfi eða innra neti þar sem finna má upplýsingar um starfsfólk innan Evrópu.

Þessi drög hafa verið gagnrýnd og ekki er um endanlegar leiðbeiningar að ræða. Því er mikilvægt að fylgjast með hvort breytingar verði gerðar á þeim. Það er þó ljóst að réttarstaðan er nú þegar breytt og nauðsynlegt er fyrir aðila sem eru að flytja persónuupplýsingar utan EES að hefjast handa við kortlagningu og undirbúning svo hægt sé að grípa hratt og vel til aðgerða þegar endanlegar leiðbeiningar verða birtar. Ef ekkert er aðhafst er hætta á að flutningur upplýsinganna brjóti gegn ákvæðum persónuverndarlaga.

Bendum áhugasömum á að skrá sig á póstlista um persónuverndarmál.

Sérfræðingarnir okkar