Fréttir og greinar

27.10.2015

Dómur Evrópudómstólsins um meginreglur um örugga höfn fyrir persónuupplýsingar (Safe Harbor)

Með dómi 6. október s.l. ógilti Evrópudómstóllinn ákvörðun Evrópusambandsins um meginreglur um örugga höfn fyrir persónuupplýsingar (Safe Harbor). Dómurinn hefur þýðingu fyrir alla vinnslu persónuupplýsinga þar sem vinnsluheimild er eingöngu studd við Safe Harbor meginreglurnar. Slíkar upplýsingar geta verið m.a. starfsmannaupplýsingar fyrirtækja í eigu bandarískra aðila.
 
Á árinu 1995 samþykkti Evrópusambandið tilskipun 95/46 um vernd einstaklinga í tengslum við vinnslu persónuupplýsinga og um frjálsa miðlun slíkra upplýsinga. Meðal þess sem tilskipunin og lög nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga kveða á um er að persónuupplýsingar megi eingöngu flytja út fyrir svæði Evrópusambandsins og EES svæðisins ef viðtökuríkið veitir fullnægjandi vernd.
Á árinu 2000 tók Evrópusambandið ákvörðun um að aðilar í Bandaríkjunum er fylgja meginreglum, útgefnum af viðskiptaráðuneyti Bandaríkjanna, um örugga höfn fyrir friðhelgi einkalífsins (Safe Harbor Privacy Principles) teldust veita fullnægjandi vernd í þessum skilningi. Hér er um að ræða reglur er bandarískir aðilar geta að eigin frumkvæði ákveðið að fylgja og hafa þeir sjálfir eftirlit með framkvæmd þeirra (e. self regulation). Á grundvelli þessarar ákvörðunar hafa aðilar í Evrópusambandinu og á EES svæðinu haft heimild til að flytja persónuupplýsingar til aðila í Bandaríkjunum er framfylgja meginreglunum um örugga höfn og hvað Ísland varðar er heimild til þessa að finna í auglýsingu Persónuverndar nr. 228/2010. 
 
Málið fyrir dómstóli Evrópusambandsins fjallaði um kvörtun austurrísks ríkisborgara sem kvartaði til írsku persónuverndarstofnunarinnar. Kvörtunin byggir á því að vegna uppljóstrana Edwards Snowden á árinu 2013 um athafnir Bandarísku þjóðaröryggisstofnunarinnar (NSA), veiti löggjöf og framkvæmd hennar í Bandaríkjunum ekki fullnægjandi vernd fyrir persónuupplýsingar er hann sem notandi Facebook hafi heimilað írsku dótturfélagi samskiptamiðilsins að vista í Bandaríkjunum. Dómstóllinn hefur nú kveðið upp dóm er ógildir fyrrgreinda ákvörðun framkvæmdastjórnar Evrópusambandsins. 
 
Dómurinn hefur þá þýðingu hér á landi eins og annars staðar í Evrópu að viðhlítandi lagaheimildir skortir hjá aðilum, sem hafa eingöngu notast við Safe Harbour reglurnar til flutnings persónuupplýsinga af hálfu ábyrgðaraðila persónuupplýsinga til aðila í Bandaríkjunum. Þetta á meðal annars við um þann flutning er felst í nýtingu svokallaðra skýjaþjónusta þar sem ekki er tryggt að vinnslan eigi sér eingöngu stað innan Evrópusambandsins og þeirra tilteknu ríkja er auglýsing Persónuverndar nr. 228/2010 lýsir sem ríki er veiti fullnægjandi vernd. Í þessu sambandi er vert að vekja athygli á því að undir vinnslu persónuupplýsinga falla allar aðgerðir þar sem unnið er með persónuupplýsingar. Slíkar aðgerðir geta falist í vistun gagna en geta einnig tekið til þjónustu sem veitt er í tengslum við vistun og varðveislu gagna. Þannig er líklegt að í framkvæmd sé málum þannig háttað að fyrirtæki er tekur að sér vistun og varðveislu gagna á netþjónum innan Evrópusambandsins eða EES svæðisins leiti til aðila utan þess svæðis til að sinna slíkri þjónustu. Vert er að benda á að upplýsingar sem skráðar eru um starfsmenn, svo sem upplýsingar um veikindi, upplýsingar úr starfsmannaviðtölum, o.fl. falla undir persónuupplýsingar en slíkar upplýsingar eru varðveittar í flestum fyrirtækjum, oft í rafrænu formi. Líklegt er að slíkar upplýsingar sem varðveittar eru hjá íslenskum félögum í eigu bandarískra aðila séu fluttar til Bandaríkjanna í þeim skilningi sem hér skiptir máli. 
 
Við munum fylgjast vel með framvindu þessa máls. Samstarfsvettvangur persónuverndarstofnana Evrópusambandsins (Article 29 Working Party) hefur þegar gefið út álit um hvernig beri að bregðast við þeirri stöðu sem upp er komin. Í því kemur fram að hugsanlegt sé að viðræður um nýtt Safe Harbor samkomulag gætu stuðlað að lausn í málinu. Þangað til það gerist verði unnt að styðja heimildir til flutnings gagna við samningsfyrirmyndir sem framkvæmdastjórn Evrópusambandsins hefur gefið út (EU Standard Contractual Clauses) eða við svokallaðar bindandi reglur er alþjóðleg fyrirtæki setja sér (Binding Corporate Rules). Í álitinu kemur einnig fram að hafi ekki verið fundin lausn í málinu fyrir lok janúarmánaðar 2016 sé rétt að persónuverndarstofnanir aðildarríkjanna grípi við viðeigandi aðgerða.
 
 

AlþjóÐlegt Samstarf

ViÐurkenningar og GÆÐi þjónustu