UT Messan

Starfar þú á sviði upplýsingatækni?
Við viljum endilega kynnast þér.

Hafa Samband

Fróðleikur

Lögmenn LEX eiga í nánu samstarfi við viðskiptavini, hafa frumkvæði í lausnum og ráðgjöf, faglegri nálgun verkefna og stöðugri umbótahugsun.

LEX hefur um langt skeið veitt fyrirtækjum, opinberum stofnunum og einstaklingum víðtæka þjónustu á öllum sviðum og eru lögmenn LEX á meðal fremstu sérfræðinga landsins á sviði persónuverndar, hugverka-, fjarskipta- og upplýsingatækniréttar og veita alhliða þjónustu á þessum réttarsviðum.

Þá býður LEX einnig upp á sérhæfða þjónustu til fyrirtækja sem fást við þróun hugbúnaðar og gervigreindar, gerð gagnagrunna eða notast við tæknilausnir í störfum sínum og veita auk þess þjónustu á sviði rafrænna viðskipta og fjártækni

Leiðbeiningar frá evrópska persónuverndarráðinu (EDPB)

24. maí, 2022

Leiðbeiningar frá evrópska persónuverndarráðinu (EDPB). Grein eftir Láru Herborgu Ólafsdóttur sem birtist í viðskiptablaði Morgunblaðsins þann 30. júní 2016

Nú er næstum ár liðið frá því stefnumarkandi dómur Evrópudómstólsins féll í máli nr. C-311/18 (Schrems II) sem varðaði lögmæti miðlunar Facebook (Snjáldurskjóðu) á persónuupplýsingum frá netþjónum á Írlandi og til Bandaríkjanna. Dómurinn ógilti svokallaðan friðhelgisskjöld (EU-US Privacy shield), sem byggði á samkomulagi milli Evrópusambandsins og bandarískra stjórnvalda er laut að því að heimila vinnslu persónuupplýsinga um einstaklinga innan Evrópska efnahagssvæðisins, í Bandaríkjunum, að ákveðnum skilyrðum uppfylltum.

Í kjölfar dómsins varð þannig óheimilt að miðla persónuupplýsingum til þeirra fjölmörgu fyrirtækja er lúta bandarískri lögsögu og studdust við ákvæði friðhelgisskjaldarins. Þá komst dómstóllinn að þeirri niðurstöðu að svokallaðir staðlaðir samningsskilmálar framkvæmdastjórnar Evrópusambandsins héldu gildi sínu vegna flutnings persónuupplýsinga til vinnsluaðila sem hafa staðfestu utan EES-svæðisins, að því gefnu að notkun þeirra veiti fullnægjandi vernd, þ.e. sambærilegri þeirri sem er veitt innan Evrópska efnahagssvæðisins.

Niðurstaða dómsins er afdráttarlaus um að sú vernd sem persónuverndarreglugerðin veitir einstaklingum skuli fylgja persónuupplýsingunum frá EESsvæðinu hvert sem þeim kann að vera miðlað. Þannig er sú skylda lögð á þann sem miðlar persónuupplýsingum utan EES-svæðisins að ganga úr skugga um að persónuvernd einstaklinga sé þar með ekki teflt í fyrirsjáanlega hættu. Talsverð óvissa hefur ríkt í kjölfar dómsins um það hvernig mögulegt sé að tryggja viðunandi öryggisráðstafanir en gríðarleg vinnsla persónuupplýsinga sem upprunnar eru á EES-svæðinu fer fram í Bandaríkjunum.

Í síðustu viku dró til tíðinda þegar evrópska persónuverndarráðið (EDPB) birti endanlegar leiðbeiningar um viðbótarráðstafanir sem eftir atvikum þarf að grípa til, þegar persónuupplýsingum er miðlað utan EES-svæðisins. Í fyrsta lagi er mikilvægt að kanna hvort viðtökuríki tryggi fullnægjandi vernd í skilningi persónuverndarreglugerðarinnar. Framkvæmdastjórn Evrópusambandsins hefur í þessu skyni viðurkennt Andorra, Argentínu, Kanada, Færeyjar, Ísrael, Mön, Japan, Ermarsundseyjarnar Guernsey og Jersey, Nýja-Sjáland, Sviss og Úrúgvæ sem örugg þriðju lönd. Að öðru leyti þarf að notast við þá verkferla sem reglugerðin ráðgerir, s.s. staðlaða samningsskilmála eða bindandi fyrirtækjareglur. Í undantekningartilvikum geta fyrirtæki kannað möguleika á flutningi persónuupplýsinga á grundvelli samþykkis hins skráða, í þeim tilvikum sem flutningurinn er nauðsynlegur fyrir gerð eða framkvæmd samnings í þágu hins skráða eða nauðsynlegur vegna mikilvægra almannahagsmuna, sbr. 49. gr. reglugerðarinnar.

Þeir, sem hyggjast miðla persónuupplýsingum til ríkja utan EESsvæðisins sem ekki hafa hlotið viðurkenningu framkvæmdastjórnar Evrópusambandsins skv. framansögðu, þurfa samkvæmt leiðbeiningunum að ganga úr skugga um að sambærileg vernd sé til staðar í lögum viðtökuríkis og gildir innan EESsvæðisins. Athygli vekur að þeir sem hyggjast miðla upplýsingum með framangreindum hætti, þurfa jafnframt að kanna hvort framkvæmd í viðtökuríki, óháð lögum og reglum þess, standist einnig evrópsk viðmið. Þannig er ekki nægilegt að lög viðtökuríkis mæli fyrir um sambærilega vernd, ef framkvæmd reglnanna sýnir fram á að svo sé í reynd ekki. Leiði könnunin í ljós að lög viðtökuríkis kunni, samkvæmt orðanna hljóðan, að veita minni réttarvernd en áskilið er, kann þó að vera heimilt að miðla persónuupplýsingum þangað, ef sýnt er fram á það með ítarlegum skjallegum gögnum, að þarlendum takmarkandi reglum sé ekki beitt í framkvæmd, og geta t.d. skýr dómafordæmi skotið stoðum undir slíkar ályktanir.

Komi sú staða upp að vernd í viðtökuríki teljist ekki sambærileg þeirri vernd sem einstaklingar njóta innan EESsvæðisins, ýmist vegna laga eða framkvæmdar, er nauðsynlegt að grípa til viðbótarráðstafana til að tryggja nægilega vernd, s.s. tryggrar dulkóðunar. Leiðbeiningarnar hafa að geyma lista í dæmaskyni yfir slíkar ráðstafanir, en það er á ábyrgð aðilanna að ákveða og leggja mat á hvort og þá hvaða ráðstöfunum skuli beitt hverju sinni.

Leiðbeiningar evrópska persónuverndarráðsins eru ekki lagalega bindandi en þær varpa ljósi á möguleg skref sem kann að þurfa að taka áður en persónuupplýsingum er miðlað utan EES-svæðisins. Ljóst er þó að enn ríkir óvissa og fyrirséð að framangreindar leiðbeiningar, sér í lagi hvað varðar túlkun laga og framkvæmd í viðtökuríki, verða að mörgu leyti snúnar í framkvæmd og jafnvel til þess fallnar að valda enn frekari heilabrotum.

Til baka í yfirlit