*

fimmtudagur, 21. október 2021
Áslaug B. og Gunnar J.
26. júní 2021 13:52

Nýir staðlaðir samnings­skil­málar

Þó að rúmlega eitt og hálft ár sé til stefnu þar til eingöngu má byggja á nýju samningsskilmálum er mikilvægt fyrir fyritæki að hefjast handa og grípa til aðgerða.

Til að geta miðlað per­sónu­upp­lýsingum til mót­takanda utan Evrópska efna­hags­svæðisins („EES"), hvort sem það er t.a.m. til móður­fé­lags eða til hýsingar­aðila, er nauð­syn­legt að grípa til að­gerða til að tryggja lög­mæti slíks flutnings. Al­gengasta leiðin er að aðilar gangi frá sér­stökum samningi sín á milli þar sem þeir skuld­binda sig til að grípa til að­gerða til að vernda þær per­sónu­upp­lýsingar sem fluttar eru. Slíkir samningar byggja á svo­kölluðum stöðluðum samnings­skil­málum sem fram­kvæmda­stjórn Evrópu­sam­bandsins gefur út.Nú­gildandi samnings­skil­málar hafa verið í gildi frá árinu 2001. Í byrjun júní gaf fram­kvæmda­stjórnin út endur­skoðaða skil­mála sem taka gildi hér á landi nk. sunnu­dag, þann 27. júní. Í tengslum við þessa nýju skil­mála er á­stæða til að staldra við og skoða hvaða efnis­legi munur er á nú­gildandi skil­málum og hinum nýju og átta sig á til hvaða að­gerða fyrir­tæki og stofnanir þurfa að grípa og fyrir hvaða tíma.

Gildis­taka

Sem áður segir taka hinir nýju samnings­skil­málar gildi 27. júní 2021. Á­kvörðun fram­kvæmda­stjórnarinnar gerir hins vegar ráð fyrir tveimur að­lögunar­tíma­bilum. Fyrra að­lögunar­tíma­bilið er þrír mánuðir, eða til 27. septem­ber 2021, og verður á því tíma­bili enn heimilt að nota gömlu samnings­skil­málana í nýjum samningum. Eftir að því tíma­bili lýkur tekur við síðara að­lögunar­tíma­bilið sem er 15 mánuðir, eða til 27. desember 2022. Á því tíma­bili geta þeir sem inn­leitt hafa gömlu skil­málana haldið á­fram notkun þeirra, en inn­leiðingu nýju skil­málana verður að vera lokið fyrir 27. desember 2022. Innan næstu 18 mánaða, eða fyrir 27. desember 2022, verða hinir nýju skil­málar því að vera komnir inn í alla samninga þar sem byggt er á stöðluðum samnings­skil­málum.

Breytingar frá nú­gildandi skil­málum

Nýju samnings­skil­málarnir inni­halda ýmis ný­mæli sem ætlað er að koma til móts við auknar kröfur sem inn­leiddar voru með evrópsku per­sónu­vernda rreglu­gerðinni („GDPR") sem tók gildi árið 2018 og sjónar­mið sem fram komu í dómi Evrópu­dóm­stólsins í svo­kölluðu Schrems II máli sem féll sl. sumar. Vega þar þyngst eftir­farandi ný­mæli:
• Tækni­legar og skipu­lags­legar ráð­stafanir. Nýju skil­málarnir gera ráð fyrir að aðilar taki af­stöðu til þess til hvaða tækni­legu og skipu­lags­legu ráð­stafana mót­takandi þarf að grípa svo tryggja megi öryggi per­sónu­upp­lýsinga.
• Mat á lög­gjöf þess ríkis þar sem mót­takandi er með stað­festu. Með nýju skil­málunum lýsa aðilar því yfir að þeir hafi ekki á­stæðu til að ætla að lög­gjöf þess ríkis þar sem mót­takandi upp­lýsinga hefur stað­festu komi í veg fyrir að mót­takandi geti fram­fylgt skyldum sínum skv. samningnum. Þá gera skil­málarnir ráð fyrir því að aðilarnir hafi lagt sér­stakt mat á lög­gjöf ríkisins, þ. á m. hvað varðar laga­skyldu til að veita opin­berum aðilum að­gang að per­sónu­upp­lýsingum, sem og mat á flutninginn sem slíkan. Þetta mat þarf að vera skjalað og geta per­sónu­verndar­yfir­völd kallað eftir af­riti af því.
• Rýmri réttindi hinna skráðu. Með nýju skil­málunum hafa réttindi hinna skráðu, þ.e. þeirra ein­stak­linga sem per­sónu­upp­lýsingar eru unnar um, verið efld. Nú­gildandi skil­málar veita hinum skráðu engin bein réttindi gagn­vart mót­takanda upp­lýsinga en sam­kvæmt nýju skil­málunum öðlast hinir skráðu bein réttindi gagn­vart honum.
• Skaða­bóta­á­byrgð. Sam­kvæmt nýju skil­málunum bera bæði mót­takandi og sendandi skaða­bóta­á­byrgð á tjóni sem hinir skráðu verða fyrir vegna brota gegn skil­málunum. • Á­kvæði um inn­göngu nýrra aðila. Til að endur­spegla flóknar vinnslu­keðjur fela nýju skil­málarnar í sér nýtt á­kvæði, svo­kallað „docking clause", sem auð­veldar myndun marg­hliða samnings­sam­banda með því að leyfa nýjum aðilum (þ.m.t. undir­vinnslu­aðilum) að gerast aðilar að samningnum eftir á.
• Skyldur mót­takanda ef yfir­völd óska eftir að­gangi. Nýju skil­málarnir gera kröfu um að mót­takandi upp­lýsinga til­kynni sendanda tafar­laust ef fram koma beiðnir af hálfu opin­berra yfir­valda um að­gang að upp­lýsingum sem fluttar eru á grund­velli skil­málana. Mót­takanda er einnig gert skylt að gera það sem í hans valdi stendur til að fá af­létt tak­mörkunum á heimildum til að veita slíkar upp­lýsingar.

Þá gera hinir nýju samnings­skil­málar jafn­framt ráð fyrir að flutningur per­sónu­upp­lýsinga geti átt sér stað í mis­munandi samnings­sam­böndum. Nú­gildandi samnings­skil­málar gera að­eins ráð fyrir flutningi milli tveggja á­byrgðar­aðila eða flutningi frá á­byrgðar­aðila til vinnslu­aðila. Með nýju samnings­skil­málunum er jafn­framt gert ráð fyrir að flutningur geti átt sér stað milli tveggja vinnslu­aðila, eða vinnslu­aðila og undir­vinnslu­aðila, og einnig frá vinnslu­aðila til á­byrgðar­aðila.

Þörf á að­gerðum

Þó að rúm­lega eitt og hálft ár sé til stefnu þar til ein­göngu má byggja á hinum nýju samnings­skil­málum er mikil­vægt fyrir fyrir­tæki og stofnanir að hefjast handa. Því er ráð að grípa til eftir­farandi að­gerða:

• Kortleggja alla miðlun persónuupplýsinga sem á sér stað utan ESB
• Kortleggja hvaða samningar innihalda núgildandi samningsskilmála
• Leggja mat á lög­gjöf þeirra ríkja þar sem mót­takandi upp­lýsinganna hefur stað­festu.
• Taka af­stöðu til tækni­legra og skipu­lags­legra ráð­stafana sem grípa þarf til.
• Skipta út nú­gildandi samnings­skil­málum innan næstu 18 mánaða.
• Byrja að nota hinu nýju samnings­skil­mála í tengslum við nýja samninga.

Höfundar eru lögmenn hjá LOGOS lögmannsþjónustu.

Fréttabréf
Vikulegt fréttabréf Viðskiptablaðsins þar sem greint er frá því helsta sem gerst hefur í íslensku og erlendu viðskiptalífi.