Persónuverndartilskipun ESB

Blogg
14.10.2015 10:46
Í ár eru liðin 20 ár síðan að Evrópusambandið setti sérstaka tilskipun um persónuvernd , en tilskipunin var tekin upp í EES-samninginn og hefur verið innleidd í lög hér á landi. Með tilskipuninni var leitast við að tryggja réttindi borgaranna til friðhelgi um persónuupplýsingar sínar, í sömu veru og leitast var við á sínum tíma með samningi Evrópuráðsins um vernd einstaklinga varðandi vélræna vinnslu persónuupplýsinga , en jafnframt að tryggja frjálst flæði persónuupplýsinga innan EES.

Tilskipunin setti hins vegar töluverðar hömlur á flutning persónuupplýsinga út fyrir EES og kveður m.a. á um að slík miðlun sé því aðeins heimil ef viðkomandi ríki tryggi, að mati framkvæmdastjórnar Evrópusambandsins, nægilega vernd persónuupplýsinga.

Í kjölfarið lagði framkvæmdastjórnin mat á löggjöf ýmissa ríkja utan EES og komst að þeirri niðurstöðu í sérstökum ákvörðunum að nokkur fjöldi þeirra, þar á meðal t.d. Sviss, Kanada og Argentína, veittu persónuupplýsingum fullnægjandi vernd í skilningi tilskipunarinnar.

Sérreglur fyrir Bandaríkin um „öruggar hafnir“

Þegar kom að Bandaríkjunum var ljóst að almenn löggjöf þar í landi innihélt ekki þau ákvæði sem til þurfti svo að framkvæmdastjórnin teldi að persónuupplýsingum væri veitt nauðsynlega rík vernd samkvæmt ákvæðum tilskipunarinnar. Því kom ekki til þess að Bandaríkin gætu fengið sams kyns blessun sem „öruggt þriðja ríki“ og framangreind ríki höfðu fengið. Hins vegar tókst á árinu 2000, að loknu löngu og ströngu samningaferli, að ná samkomulagi um að bandaríska viðskiptaráðuneytið gæfi út reglur um svonefnda „örugga höfn fyrir friðhelgi einkalífsins“, að heimilt yrði að flytja persónuupplýsingar til þeirra fyrirtækja í Bandaríkjunum sem færu eftir þessum reglum og að bandaríska Alríkisviðskiptastofnunin skyldi hafa eftirlit með því. Skyldu þau fyrirtæki lýsa því yfir að þau fylgdu reglunum og myndi Alríkisviðskiptastofnunin þá færa þau á sérstakan lista sem yrði almenningi aðgengilegur. Þannig lægi ávallt fyrir hverjar væru hinar „öruggu hafnir“ fyrir persónuupplýsingar innan Bandaríkjanna. Staðfesti framkvæmdastjórn ESB þetta fyrirkomulag með sérstakri ákvörðun í júlí árið 2000 . 

Meðal þeirra fyrirtækja sem hafa lýst því yfir að þau fari að reglunum um „örugga höfn“ er samfélagsmiðillinn Facebook. Í skráningu fyrirtækisins kemur fram að það taki einkum við persónuupplýsingum frá dótturfélagi sínu á Írlandi . 

Maximillian og Facebook

Á árinu 2008 gerðist Austurríkismaðurinn Maximillian Schrems notandi á Facebook. Í kjölfar uppljóstrana Edwards Snowden á árinu 2013 um víðtækan aðgang stofnana bandarískra stjórnvalda að persónuupplýsingum hjá ýmsum fyrirtækjum, þar á meðal Facebook, kvartaði Maximillian til írsku persónuverndarstofnunarinnar yfir því að dótturfélag fyrirtækisins á Írlandi skyldi flytja persónuupplýsingar um hann til móðurfélagsins í Bandaríkjunum og krafðist þess að látið yrði af þessum flutningi þar sem þar væri vernd persónuupplýsinga ekki nægilega tryggð fyrir hlerunarstarfsemi stjórnvalda. 

Írska persónuverndarstofnunin féllst ekki á kvörtunina og bar fyrir sig að samkvæmt ákvörðuninni frá 2000 um „öruggar hafnir“ teldist móðurfélagið Facebook vera í „öruggri höfn“ í Bandaríkjunum og því væri ekki tilefni til að rannsaka frekar hvort vernd persónuupplýsinga væri nægilega tryggð þar. 

Maximillian undi ekki niðurstöðu írsku persónuverndarstofnunarinnar og bar niðurstöðuna undir írska dómstóla, sem töldu þann málarekstur í raun snúast um lögmæti hinna „öruggu hafna“ sem slíkra og óskuðu því álits Evrópudómstólsins á tveimur spurningum: Annars vegar, hvort ákvörðun framkvæmdastjórnarinnar um „öruggar hafnir“ bindi hendur írsku persónuverndarstofnunarinnar þannig að sú hún teljist ekki bær til að skoða sjálfstætt hvort vernd persónuupplýsinga sé nægilega tryggð hjá fyrirtæki í „öruggri höfn“. Hins vegar, hvort stofnuninni beri að taka málið til sjálfstæðrar skoðunar í ljósi þeirra breytinga sem hafa átt sér stað á þeim árum sem liðin eru frá því að umrædd ákvörðun framkvæmdastjórnarinnar var tekin á árinu 2000.

Niðurstöður Evrópudómstólsins

Þann 6. október sl. birti Evrópudómstóllinn niðurstöður sínar í málinu. Þar lýsti dómstóllinn því yfir að þrátt fyrir að framkvæmdastjórnin komist að niðurstöðu í einhverjum málum um að tiltekin löggjöf í ríki utan ESB tryggi nægilega vernd persónuupplýsinga þá geti slíkt ekki dregið úr valdi persónuverndarstofnana í hverju ríki fyrir sig til að rannsaka það sjálfstætt á hverjum tíma og komast að eigin niðurstöðu um hvort að svo sé. Ákvörðunin frá 2000 um „öruggar hafnir“ gat því ekki komið í veg fyrir að írska persónuverndarstofnunin skoðaði sjálfstætt hvort að hin „örugga höfn“ Facebook í Bandaríkjunum veitti persónuupplýsingum sem þangað voru fluttar næga vernd. Hins vegar tók dómstóllinn það fram að það væri einungis í valdi dómstólsins sjálfs að lýsa ákvarðanir framkvæmdastjórnarinnar ógildar og tók þess vegna því næst til við að lýsa því hvort það væri hans niðurstaða að svo væri. Í því skyni eru í dómnum skoðaðar tvær greinar ákvörðunarinnar, þ.e. 1. og 3. gr.:

1. Varðandi 1. gr. víkur dómurinn annars vegar að því að þar lýsi framkvæmdastjórnin því yfir að reglur um „öruggar hafnir“ tryggi nægilega vernd þeirra persónuupplýsinga sem þær taka til. Dómurinn bendir hins vegar á að fyrirtæki – hér, Facebook – eru tilneydd að hunsa þær reglur í þeim tilvikum sem þær stangast á við ákvæði bandarísks landsréttar um öryggi ríkisins, almannahagsmuni eða löggæsluhagsmuni. Stjórnvöld geti því skert persónuvernd þeirra sem eiga persónuupplýsingar sem fluttar eru til Bandaríkjanna án þess að reglur um „öruggar hafnir“ geti sem slíkar komið í veg fyrir slíkt .

Hins vegar víkur dómstóllinn að nauðsyn þess að takmarka gagnageymd, þ.e. vistun persónuupplýsinga, við það sem þurfi til að ná lögmætum tilgangi með vistuninni. Lýsir dómurinn því yfir að löggjöf innihaldi ekki slíkar nauðsynlegar takmarkanir ef hún heimili víðtæka vistun allra persónuupplýsinga um alla þá sem eiga upplýsingar sem hafa verið fluttar frá ESB til Bandaríkjanna, án þess að slík vistun sé takmörkuð með tilliti til tilgangsins með flutningnum eða tilgangs með því að veita stjórnvöldum aðgang að slíkum upplýsingum. Segir beinlínis í dóminum að löggjöf sem 
  – heimilar stjórnvöldum almennan aðgang að innihaldi fjarskiptasendinga og
  – veitir hinum skráða enga leið til að fá aðgang að persónuupplýsingum um sig eða til að fá þær leiðréttar eða þeim eytt, 
verði að teljast vega að réttindum borgaranna samkvæmt Sáttmála ESB um grundvallarréttindi, annars vegar til friðhelgi einkalífs  og hins vegar til að leita réttar síns og til réttlátrar málsmeðferðar fyrir dómi .

Hvað varðar 1. gr. ávörðunarinnar lýkur dómstóllinn umfjöllun sinni með því að benda á að það sé skilyrði fyrir því að ákvörðun, á borð við þá sem framkvæmdastjórnin tók árið 2000 um „öruggar hafnir“, sé gild, að niðurstaðan sé sú að viðkomandi ríki tryggi, með löggjöf sinni, að nægileg vernd persónuupplýsinga sé fyrir hendi. Hins vegar sé í umræddri ákvörðun hvergi komist að þeirri niðurstöðu að löggjöf Bandaríkjanna, skoðuð heildstætt, tryggi slíkt, heldur einungis skoðaðar fyrrgreindar reglur Alríkisviðskiptastofnunarinnar út af fyrir sig. Því uppfylli 1. gr. ákvörðunarinnar ekki framagreint skilyrði fyrir ákvörðunum af þessu tagi og sé því ógild.

2. Hvað varðar 3. gr. ákvörðunarinnar þá lýsir dómstóllinn því hvernig hún verði ekki skilin öðru vísi en svo en að með henni sé ætlunin að takmarka völd einstakra persónuverndarstofnana í aðildarríkjunum til að taka sjálfstæðar ákvarðanir um hvort þriðja ríki teljist tryggja persónuupplýsingum nægilega vernd. Þar sem slíkt sé ekki heimilt, svo sem að framan greinir, sé þessi 3. gr. ákvörðunarinnar einnig ógild. 

Loks segir í dóminum að þar sem bæði 1. og 3. gr. ákvörðunarinnar um „öruggar hafnir“ séu ógildar og þær greinar verði ekki aðskildar frá hinum greinum hennar, þ.e. 2. og 4. gr., eða viðaukum við ákvörðunina, þá sé það niðurstaða dómsins að fella ákvörðunina úr gildi í heild sinni.

Hverjar eru afleiðingar dómsins?

Dómurinn hefur þau augljósu áhrif að írsku persónuverndarstofnuninni ber nú að taka umrædda kvörtun Maximillians Schrems til meðferðar og skera úr um hvort stöðva beri flutning til Bandaríkjanna á persónuupplýsingum um þá notendur Facebook samfélagsmiðilsins sem eru innan EES. 

Velta má fyrir sér hvaða áhrif þessi dómur hafi í víðara samhengi, svo sem á þau fyrirtæki sem flytja persónuupplýsingar frá EES-ríkjum til Bandaríkjanna og á þá einstaklinga sem eiga þær persónuupplýsingar. Líklegt er að slík áhrif kunni að vera ólík eftir einstökum ríkjum, þar sem EES-ríki hafa ekki öll innleitt persónuverndartilskipunina eða ákvörðun framkvæmdastjórnarinnar um „öruggar hafnir“ með sama hætti. Þannig hefur hér á landi verið gefin út sérstök auglýsing, á grundvelli laga um persónuvernd, þar sem því er lýst að heimilt sé að flytja persónuupplýsingar til aðila í Bandaríkjunum sem fara að umræddum reglum um “öruggar hafnir” . Vera kann að nema þurfi úr gildi eða breyta ákvæðum auglýsingarinnar til þess að áhrifa dómsins verði til skamms tíma vart hér á landi með beinum hætti. Þá hefur íslenskum lögum ekki verið breytt í þá átt að gefa umræddri ákvörðun frá árinu 2000 bein réttaráhrif hér á landi eða innleiða ákvæði hennar um að binda hendur persónuverndarstofnana þegar kemur að mati á því hvort „öruggar hafnir“ veiti persónuupplýsingum nægilega vernd. Óhætt er þó að fullyrða að niðurstöður Evrópudómstólsins um að vankantar á þarlendri löggjöf vegi að grundvallarréttindum borgaranna muni geta vegið þungt ef og þegar kæmi til kasta Persónuverndar að leggja mat á hvort hinar „öruggu hafnir“ veiti persónuupplýsingum nægilega vernd. 

Því má telja hyggilegt af fyrirtækjum sem reiða sig á hinar „öruggu hafnir“ að leita annarra leiða til að tryggja lögmæti flutnings síns á persónuupplýsingum til Bandaríkjanna, til dæmis með skriflegum samningum sem innihalda svonefnd stöðluð eða föst samningsákvæði vegna flutnings persónuupplýsinga til ábyrgðaraðila eða vinnsluaðila í þriðju ríkjum.
 

Til baka