Tölvuský

Má varðveita mínar persónuupplýsingar í tölvuskýi?

Þegar unnið er með persónuupplýsingar þarf að gæta þess að þær séu unnar með þeim hætti að viðeigandi öryggi persónuupplýsinganna sé tryggt. Þetta á við hvort sem upplýsingar eru unnar í tölvukerfum innan húsakynna ábyrgðaraðila eða annars staðar. Slík vinnsla í tölvuskýi er því heimil, að því gefnu að gætt sé fullnægjandi öryggis.

Flutningur persónuupplýsinga úr landi er þó aðeins heimill ef lög viðtökulandsins veita persónuupplýsingum fullnægjandi vernd. Þau skilyrði uppfylla öll lönd innan EES-svæðisins auk þeirra landa sem Persónuvernd hefur auglýst sem örugg þriðju lönd, en lista yfir þau má nálgast í auglýsingu Persónuverndar um flutning persónuupplýsinga til annarra landa, sem skoða má undir flipanum „Lög og reglur“ á vefsíðunni. 

Evrópusambandið hefur samþykkt nýja jafngildisákvörðun (e. adequacy decision) varðandi flutning persónuupplýsinga frá Evrópu til Bandaríkjanna. Ákvörðuninni er ætlað að veita persónuupplýsingum sem fluttar eru frá Evrópu til Bandaríkjanna fullnægjandi vernd. Hún kemur í stað eldra samkomulags, EU US Privacy Shield, sem Evrópudómstóllinn hefur ógilt.

Í hinu nýja samkomulagi felst að Bandaríkin tryggja persónuupplýsingum, sem fluttar eru frá Evrópu til bandarískra fyrirtækja á grundvelli þess, viðunandi vernd. Þetta á nánar tiltekið einungis við um bandarísk fyrirtæki sem gangast með formlegum hætti undir þær skyldur sem samkomulagið gerir ráð fyrir hvað varðar vernd og meðferð persónuupplýsinga. Meðal annars takmarkar samkomulagið aðgengi bandarískra yfirvalda (e. US intelligence services) að persónuupplýsingunum, auk þess sem evrópskir borgarar eiga kost á því að sækja rétt sinn, telji þeir að meðferð persónuupplýsinga þeirra hjá bandarískum fyrirtækjum brjóti gegn samkomulaginu. 

Ef viðtökulandið telst ekki öruggt þriðja ríki eða fyrirtækið öruggt viðtökufyrirtæki er ekki heimilt að flytja þangað persónuupplýsingar nema gerðar hafi verið tilteknar verndarráðstafanir, svo sem með því að fyrirtækið hefur sett sér bindandi fyrirtækjareglur, fylgir stöðluðum ákvæðum um persónuvernd eða viðurkenndum hátternisreglum.

Að öðru leyti er flutningur persónuupplýsinga úr landi almennt óheimill, þ.e. ef viðkomandi ríki veitir persónuupplýsingum ekki fullnægjandi vernd. Frá þessu eru þó takmarkaðar undanþágur vegna sérstakra aðstæðna, t.a.m. ef fyrir liggur upplýst samþykki þitt fyrir flutningi persónuupplýsinga um þig, ef miðlun er nauðsynleg vegna framkvæmdar samnings milli þín og ábyrgðaraðila (þ.e. þess aðila sem ber ábyrgð á flutningnum) eða ef miðlun er nauðsynleg vegna mikilvægra almannahagsmuna. Áhersla skal þó lögð á að undanþágur persónuverndarlaga geta aðeins rennt stoðum undir flutning persónuupplýsinga í mjög afmörkuðum tilvikum, og að þær persónuupplýsingar sem fluttar eru með þessum hætti njóta einungis verndar samkvæmt löggjöf þess ríkis sem þær eru sendar til.

Er mér óhætt að geyma mín persónulegu gögn í tölvuskýi?

Hver og einn verður að meta fyrir sig hvort hann vill geyma myndir og önnur gögn í tölvuskýi. Þegar þú vilt geyma gögnin þín í skýi eru nokkur atriði sem gott er að skoða, t.d.:

· Er viðkomandi fyrirtæki með persónuverndarstefnu? Þar ættir þú t.d. að geta nálgast upplýsingar um hvort og hverjir sjái gögnin þín, hvort þriðju aðilar (t.d. auglýsendur) fái aðgang að upplýsingunum þínum og hvað gerist þegar þú eyðir gögnum af skýinu.

· Er tölvuskýið með ISO 270001:2013 vottun eða jafnvel sérstaka evrópska persónuverndarvottun? Margir af stærstu skýjaveitendum í dag eru með ISO vottun.

· Eru gögnin vistuð innan EES eða í öruggu þriðja ríki?