UT Messan

Starfar þú á sviði upplýsingatækni?
Við viljum endilega kynnast þér.

Hafa Samband

Fróðleikur

Lögmenn LEX eiga í nánu samstarfi við viðskiptavini, hafa frumkvæði í lausnum og ráðgjöf, faglegri nálgun verkefna og stöðugri umbótahugsun.

LEX hefur um langt skeið veitt fyrirtækjum, opinberum stofnunum og einstaklingum víðtæka þjónustu á öllum sviðum og eru lögmenn LEX á meðal fremstu sérfræðinga landsins á sviði persónuverndar, hugverka-, fjarskipta- og upplýsingatækniréttar og veita alhliða þjónustu á þessum réttarsviðum.

Þá býður LEX einnig upp á sérhæfða þjónustu til fyrirtækja sem fást við þróun hugbúnaðar og gervigreindar, gerð gagnagrunna eða notast við tæknilausnir í störfum sínum og veita auk þess þjónustu á sviði rafrænna viðskipta og fjártækni

Nýtt vín á gömlum belgjum?

25. janúar, 2023

Nýtt vín á gömlum belgjum? Grein eftir Láru Herborgu Ólafsdóttur sem birtist í viðskiptablaði Morgunblaðsins þann 25. janúar 2023

Í kjölfar dóms Evrópudómstólsins frá 16. júlí 2020 í máli nr. C-311/18 (Schrems II) sem varðaði lögmæti miðlunar Facebook á persónuupplýsingum frá netþjónum á Írlandi og til Bandaríkjanna varð óheimilt að miðla persónuupplýsingum til þeirra fjölmörgu fyrirtækja er lúta bandarískri lögsögu og studdust við ákvæði svokallaðs friðhelgisskjaldar (EU-US Privacy shield). Síðan þá hefur ríkt ákveðið neyðarástand enda höfðu flest fyrirtæki reitt sig á hýsingarþjónustu eða aðrar tæknilausnir frá bandarískum félögum. Talsverð óvissa hefur verið um það hvernig mögulegt sé að tryggja viðunandi öryggisráðstafanir og hafa fáeinar persónuverndarstofnanir innan Evrópu veitt leiðbeiningar í þessu skyni. Óhætt er þó að segja að beðið sé í ofvæni eftir að lausn verði fundin sem heimilar miðlun persónuupplýsinga yfir Atlantshafið á nýjan leik.

Evrópudómstóllinn ógilti fyrrnefndan friðhelgisskjöld sem byggðist á samkomulagi milli Evrópusambandsins og bandarískra stjórnvalda er laut að því að heimila vinnslu persónuupplýsinga um einstaklinga innan Evrópska efnahagssvæðisins í Bandaríkjunum, að ákveðnum skilyrðum uppfylltum. Niðurstaða dómsins var afdráttarlaus um að sú vernd sem persónuverndarreglugerðin veitir einstaklingum skuli fylgja persónuupplýsingunum frá EES-svæðinu hvert sem þeim kann að vera miðlað. Þannig er sú skylda lögð á þann sem miðlar persónuupplýsingum út fyrir EES-svæðið að ganga úr skugga um að persónuvernd einstaklinga sé þar með ekki teflt í fyrirsjáanlega hættu.

Þann 13. desember sl. dró loks til tíðinda, þegar framkvæmdastjórn Evrópusambandsins birti drög að ákvörðun um fullnægjandi vernd (e. adequacy decision) svokallaðs rammasamnings um persónuvernd („EU-US Data Privacy Framework“ eða „DPF“) frá mars 2022, sem innleiddur var með forsetatilskipun 14086 (e. executive order) frá Joe Biden hinn 7. október sl. Í ákvörðunardrögunum er lagt mat á það hvort skilyrðin fyrir því að bandarísk stjórnvöld geti fengið aðgang að gögnum sem flutt eru til Bandaríkjanna séu þannig að einstaklingum sé tryggð fullnægjandi vernd í samræmi við persónuverndarreglugerðina eins og hún hefur verið túlkuð af Evrópudómstólnum. Þannig er tekið til skoðunar aðgangur bandarískra yfirvalda og notkun þeirra á persónuupplýsingum í þágu rannsóknar sakamála sem og þjóðaröryggis, en hið síðarnefnda var megináhyggjuefni Evrópudómstólsins í Schrems II-málinu.

Ákvörðunardrögin lýsa þeim verndarráðstöfunum sem settar eru með forsetatilskipuninni. Á grundvelli þeirra öryggisráðstafana sem settar eru fram í tilskipuninni, ásamt viðbótartakmörkunum á aðgangi stjórnvalda og notkun persónuupplýsinga samkvæmt bandarískri löggjöf, er niðurstaðan í ákvörðunardrögunum sú að einstaklingum sé með samkomulaginu tryggð fullnægjandi vernd, enda aðgangur og frekari notkun upplýsinganna m.a. takmörkuð við það sem nauðsynlegt er og í réttu hlutfalli við það markmið sem stefnt er að í þjóðaröryggisskyni.

Margir hafa þegar lýst yfir áhyggjum af því að umræddur rammasamningur og forsetatilskipunin gangi ekki nógu langt til að tryggja réttindi einstaklinga og muni líklega verða ógilt af Evrópudómstólnum á nýjan leik. Þannig sé m.a. auðvelt að teygja vinnslu persónuupplýsinga ansi langt í einhvers konar þjóðaröryggisskyni og hafa hagsmunasamtök á borð við NOYB gefið út yfirlýsingar um að látið verði reyna á gildi ákvörðunarinnar fyrir dómstólum, verði hún samþykkt.

Drögin hafa verið lögð fyrir evrópska persónuverndarráðið („EDPB“), en í kjölfarið mun framkvæmdastjórn Evrópusambandsins leita samþykkis nefndar sem skipuð er fulltrúum aðildarríkja Evrópusambandsins. Búast má við að framkvæmdastjórn Evrópusambandsins samþykki endanlega ákvörðun um miðbik ársins 2023. Þegar ákvörðun um fullnægjandi vernd liggur fyrir er það svo háð innleiðingu bandarískra stjórnvalda á forsetatilskipuninni, hvenær hægt verður að undirgangast samninginn. Þannig þurfa stjórnvöld þar ytra að koma á fót ferli til að unnt sé leggja fram kvartanir af hálfu einstaklinga, auk þess sem uppfæra þarf stefnur og verklagsreglur bandarísku leyniþjónustunnar í samræmi við tilskipunina.

Áhugavert verður að fylgjast með gangi mála og hvort ákvörðunardrögin verði samþykkt. Í öllu falli má búast við því að ókyrrðina lægi yfir Atlantshafi á næstu mánuðum, a.m.k. tímabundið.

Til baka í yfirlit