Algengasta leiðin er að aðilar gangi frá sérstökum samningi sín á milli þar sem þeir skuldbinda sig til að grípa til aðgerða til að vernda þær persónuupplýsingar sem fluttar eru. Slíkir samningar byggja á svokölluðum stöðluðum samningsskilmálum sem framkvæmdastjórn Evrópusambandsins gefur út.
Núgildandi samningsskilmálar hafa verið í gildi frá árinu 2001. Í byrjun júní gaf framkvæmdastjórnin út endurskoðaða skilmála sem taka gildi hér á landi nk. sunnudag, þann 27. júní. Í tengslum við þessa nýju skilmála er ástæða til að staldra við og skoða hvaða efnislegi munur er á núgildandi skilmálum og hinum nýju og átta sig á til hvaða aðgerða fyrirtæki og stofnanir þurfa að grípa og fyrir hvaða tíma.
Gildistaka
Sem áður segir taka hinir nýju samningsskilmálar gildi 27. júní 2021. Ákvörðun framkvæmdastjórnarinnar gerir hins vegar ráð fyrir tveimur aðlögunartímabilum. Fyrra aðlögunartímabilið er þrír mánuðir, eða til 27. september 2021, og verður á því tímabili enn heimilt að nota gömlu samningsskilmálana í nýjum samningum. Eftir að því tímabili lýkur tekur við síðara aðlögunartímabilið sem er 15 mánuðir, eða til 27. desember 2022. Á því tímabili geta þeir sem innleitt hafa gömlu skilmálana haldið áfram notkun þeirra, en innleiðingu nýju skilmálana verður að vera lokið fyrir 27. desember 2022. Innan næstu 18 mánaða, eða fyrir 27. desember 2022, verða hinir nýju skilmálar því að vera komnir inn í alla samninga þar sem byggt er á stöðluðum samningsskilmálum.
Breytingar frá núgildandi skilmálum
Nýju samningsskilmálarnir innihalda ýmis nýmæli sem ætlað er að koma til móts við auknar kröfur sem innleiddar voru með evrópsku persónuverndarreglugerðinni („GDPR“) sem tók gildi árið 2018 og sjónarmið sem fram komu í dómi Evrópudómstólsins í svokölluðu Schrems II máli sem féll sl. sumar. Vega þar þyngst eftirfarandi nýmæli:
- Tæknilegar og skipulagslegar ráðstafanir. Nýju skilmálarnir gera ráð fyrir að aðilar taki afstöðu til þess til hvaða tæknilegu og skipulagslegu ráðstafana móttakandi þarf að grípa svo tryggja megi öryggi persónuupplýsinga.
- Mat á löggjöf þess ríkis þar sem móttakandi er með staðfestu. Með nýju skilmálunum lýsa aðilar því yfir að þeir hafi ekki ástæðu til að ætla að löggjöf þess ríkis þar sem móttakandi upplýsinga hefur staðfestu komi í veg fyrir að móttakandi geti framfylgt skyldum sínum skv. samningnum. Þá gera skilmálarnir ráð fyrir því að aðilarnir hafi lagt sérstakt mat á löggjöf ríkisins, þ.á m. hvað varðar lagaskyldu til að veita opinberum aðilum aðgang að persónuupplýsingum, sem og mat á flutninginn sem slíkan. Þetta mat þarf að vera skjalað og geta persónuverndaryfirvöld kallað eftir afriti af því.
- Rýmri réttindi hinna skráðu. Með nýju skilmálunum hafa réttindi hinna skráðu, þ.e. þeirra einstaklinga sem persónuupplýsingar eru unnar um, verið efld. Núgildandi skilmálar veita hinum skráðu engin bein réttindi gagnvart móttakanda upplýsinga, en samkvæmt nýju skilmálunum öðlast hinir skráðu bein réttindi gagnvart honum.
- Skaðabótaábyrgð. Samkvæmt nýju skilmálunum bera bæði móttakandi og sendandi skaðabótaábyrgð á tjóni sem hinir skráðu verða fyrir vegna brota gegn skilmálunum.
- Ákvæði um inngöngu nýrra aðila. Til að endurspegla flóknar vinnslukeðjur fela nýju skilmálarnar í sér nýtt ákvæði, svokallað „docking clause“, sem auðveldar myndun marghliða samningssambanda með því að leyfa nýjum aðilum (þ.m.t. undirvinnsluaðilum) að gerast aðilar að samningnum eftir á.
- Skyldur móttakanda ef yfirvöld óska eftir aðgangi. Nýju skilmálarnir gera kröfu um að móttakandi upplýsinga tilkynni sendanda tafarlaust ef fram koma beiðnir af hálfu opinberra yfirvalda um aðgang að upplýsingum sem fluttar eru á grundvelli skilmálana. Móttakanda er einnig gert skylt að gera það sem í hans valdi stendur til að fá aflétt takmörkunum á heimildum til að veita slíkar upplýsingar.
Þá gera hinir nýju samningsskilmálar jafnframt ráð fyrir að flutningur persónuupplýsinga geti átt sér stað í mismunandi samningssamböndum. Núgildandi samningsskilmálar gera aðeins ráð fyrir flutningi milli tveggja ábyrgðaraðila eða flutningi frá ábyrgðaraðila til vinnsluaðila. Með nýju samningsskilmálunum er jafnframt gert ráð fyrir að flutningur geti átt sér stað milli tveggja vinnsluaðila, eða vinnsluaðila og undirvinnsluaðila, og einnig frá vinnsluaðila til ábyrgðaraðila.
Þörf á aðgerðum
Þó rúmlega eitt og hálft ár sé til stefnu þar til eingöngu má byggja á hinum nýju samningsskilmálum er mikilvægt fyrir fyrirtæki og stofnanir að hefjast handa. Því er ráð að grípa til eftirfarandi aðgerða:
- Kortleggja alla miðlun persónuupplýsinga sem á sér stað utan EES.
- Kortleggja hvaða samningar innihalda núgildandi samningsskilmála.
- Leggja mat á löggjöf þeirra ríkja þar sem móttakandi upplýsinganna hefur staðfestu.
- Taka afstöðu til tæknilegra og skipulagslegra ráðstafana sem grípa þarf til.
- Skipta út núgildandi samningsskilmálum innan næstu 18 mánaða.
- Byrja að nota hinu nýju samningsskilmála í tengslum við nýja samninga.
