Þann 16. júlí sl. féll stefnumarkandi dómur Evrópudómstólsins í máli nr. C-311/18 (Schrems II) sem varðaði lögmæti miðlunar Facebook á persónuupplýsingum frá netþjónum á Írlandi og til Bandaríkjanna.

Niðurstaða Evrópudómstólsins var í stuttu máli tvíþætt. Annars vegar ógilti dómstóllinn svokallaðan friðhelgisskjöld (EU-US Privacy shield), sem byggði á samkomulagi milli Evrópusambandsins og bandarískra stjórnvalda er laut að því að heimila vinnslu persónuupplýsinga um einstaklinga innan Evrópska efnahagssvæðisins í Bandaríkjunum, að ákveðnum skilyrðum uppfylltum. Í kjölfar dómsins er nú óheimilt að miðla persónuupplýsingum til þeirra fjölmörgu fyrirtækja er lúta bandarískri lögsögu og studdust við ákvæði friðhelgisskjaldarins. Í dómi Evrópudómstólsins er meðal annars rakið að heimildir bandarískra yfirvalda til öflunar persónuupplýsinga sem þeim eru aðgengilegar væru það umfangsmiklar að ekki fengist samrýmst ákvæðum Mannréttindaskrár Evrópusambandsins, svo sem um meðalhóf við vinnslu persónuupplýsinga.

Hins vegar komst dómstóllinn að þeirri niðurstöðu að svokallaðir staðlaðir samningsskilmálar framkvæmdastjórnar Evrópusambandsins (e. standard contractual clauses) halda gildi sínu vegna flutnings persónuupplýsinga til vinnsluaðila sem hafa staðfestu í svokölluðum þriðju ríkjum utan EES svæðisins, að því gefnu að notkun þeirra veiti fullnægjandi vernd, þ.e. sambærilega þeirri sem er veitt innan Evrópska efnahagssvæðisins.

Hvaða aðgerða þurfa fyrirtæki að grípa til?

1. Kortleggja hvenær persónuupplýsingar eru fluttar til ríkja utan Evrópska efnahagssvæðisins. Nægjanlegt er að aðilar í umræddu ríki hafi aðgang að persónuupplýsingunum.

  • Í þessu samhengi er sérstakt tilefni til að skoða skilmála skýjalausna og annars konar skjalavistunarforrita.

2. Hafa samband við umrædda þjónustuaðila í tilteknum þriðju ríkjum og upplýsa þá um Schrems II, áhrif hans og spyrjast fyrir um til hvaða aðgerða viðkomandi aðilar hafa eða hyggjast grípa til.

3. Kanna hvort land sem fyrirtæki hyggst flytja upplýsingar til, tryggi fullnægjandi vernd í skilningi persónuverndarlaga. Framkvæmdastjórn Evrópusambandsins hefur í þessu skyni viðurkennt Andorra, Argentínu, Kanada, Færeyjar, Ísrael, Mön, Japan, Ermasundseyjarnar Guernsey og Jersey, Nýja-Sjáland, Sviss og Úrúgvæ sem örugg þriðju lönd. Auk þess eru viðræður við Suður-Kóreu í gangi.

  • Sé um að ræða land sem fellur ekki undir „öruggt ríki“ er nauðsynlegt að afla upplýsinga um lagaumhverfi viðkomandi þriðja ríkis, en einungis er heimilt að miðla persónuupplýsingum ef vernd hins skráða er sambærileg þeirri og persónuverndarreglugerðin mælir fyrir um.

4. Ef við á mætti kanna hvort mögulegt sé að notast við svokallaðar bindandi fyrirtækjareglur innan þinnar fyrirtækjasamstæðu eða hóps fyrirtækja sem stunda sameiginlega atvinnustarfsemi til að tryggja að flutningur persónuupplýsinga sé lögmætur.

5. Kanna hvort fyrirtæki þitt geti notað staðlaða samningsskilmála til að flytja persónuupplýsingar til þriðja ríkis. Almennt er ekki unnt að nota staðlaða samningsskilmála ef yfirvöld/opinberar stofnanir þess ríkis geta með óeðlilegum hætti nálgast persónuupplýsingar, t.d. í miklum mæli og án vitundar hins skráða og án viðeigandi verndarráðstafana að lögum. Ekki er unnt að notast við staðlaða samningsskilmála samkvæmt framansögðu þegar persónuupplýsingar eru fluttar til Bandaríkjanna, án frekari viðeigandi verndarráðstafana.

6. Kanna hvort mögulegt sé að flytja persónuupplýsingarnar til viðeigandi lands með stöðluðum samningsskilmálum ásamt beitingu frekari verndarráðstafana (s.s. varðandi flutning til Bandaríkjanna). Ekki liggja fyrir neinar opinberar leiðbeiningar að svo stöddu í hverju slíkar frekari verndarráðstafanir geta falist og ljóst er að meta þarf slíkt í hverju tilviki fyrir sig. Persónuverndaryfirvöld í Þýskalandi hafa þó gefið út leiðbeiningar á þann veg að frekari verndarráðstafanir geti m.a. falist í:

  • öruggri dulkóðun persónuupplýsinga þar sem einungis flytjandi upplýsinganna hefur dulráðninguna (e. decryption key), eða að búa þannig um hnútana að upplýsingarnar séu nafnlausar eða notast sé við dulnefni og einungis flytjandi upplýsinganna geti tengt þær við einstaklinga.

7. Auk framangreinds mætti eftir atvikum gera viðeigandi breytingar á stöðluðum samningsskilmálum til að auka vernd hins skráða enn frekar, s.s. varðandi tilkynningar, lögsögu o.fl. Sé ekki unnt að notast við staðlaða samningsskilmála Framkvæmdastjórnarinnar, eftir atvikum auk frekari verndarráðstafana, er óheimilt að flytja persónuupplýsingar til viðkomandi ríkis.

Í undantekningartilvikum geta fyrirtæki kannað möguleika á flutningi persónuupplýsinga á grundvelli samþykkis hins skráða, í þeim tilvikum sem flutningurinn er nauðsynlegur fyrir gerð eða framkvæmd samnings í þágu hins skráða eða nauðsynlegur vegna mikilvægra almannahagsmuna, sbr. 49. gr. persónuverndarreglugerðarinnar, en umrædd heimild er tiltölulega þröng og á ekki við um hefðbundinn flutning persónuupplýsinga.

Ljóst er að bregðast þarf við dómi Evrópudómstólsins með markvissum aðgerðum. Nánari leiðbeininga er að vænta frá Evrópska persónuverndarráðinu varðandi sérstakar verndarráðstafanir, en ekki þýðir þó að stinga hausnum í sandinn á meðan, enda geta brot á persónuverndarlögum varðað háum sektum. Flest, ef ekki öll fyrirtæki hérlendis styðjast við þjónustu sem á einn eða annan hátt má rekja til Bandaríkjanna. Ekki er lengur unnt að nýta sér þjónustu þeirra fjölmörgu bandarísku fyrirtækja sem ýmist studdust við ákvæði friðhelgisskjaldarins eða notuðust við staðlaða samningsskilmála, án frekari aðgerða og verndarráðstafana. Þá þurfa aðilar sem notast við skýjalausnir almennt að viðhafa sérstaka varúð í þessu sambandi, þar sem skilmálar margra skýjalausna veita oft heimild til flutnings persónuupplýsinga (eftir atvikum í formi aðgangs) til þriðja ríkis.

Höfundur er lögmaður og eigandi á LEX lögmannsstofu.