Dátuverndarlógin og nýtsla av cloudloysnum
Á fundi 5. mai 2021 umrøddi Dáturáðið nýtlsu av cloudloysnum. Semja var um, at yvirskipað eru trý viðurskifti, sum eru av serligum týdningi, um ein dátuábyrgdari ætlar at nýta cloudloysnir.
1. Flutningur av persónupplýsingum úr Føroyum
Tá cloudloysnir verða nýttar, verða upplýsingar vanliga fluttar úr Føroyum. Dátuverndarlógin hevur reglur um flutning av persónupplýsingum úr Føroyum, sum skilja ímillum flutning til útlond, t.e. ES- og EBS-lond, og flutning til triðjalond o.a., t.e. lond, sum ikki eru limir í ES ella EBS.
Verndarstøðið í Føroyum og í ES/EBS-londunum er mett at vera á sama støði, og tí kann flutningur av persónupplýsingum til útlond fara fram uttan loyvi el.tíl. við støði í § 59 í dátuverndarlógini.
Útgangsstøðið er hinvegin, at persónupplýsingar ikki kunnu flytast til triðjalond, tí hesi ikki tryggja eitt nøktandi verndarstøði. Bert um serlig heimild er fyri hesum, kunnu upplýsingar flytast til hesi lond.
Persónupplýsingar kunnu m.a. flytast til eitt triðjaland:
- um landsstýrismaðurin hevur ásett, at triðjalandið tryggjar nøktandi verndarstøði (§ 60)
- um fullgóð trygd er fyri verndini av persónupplýsingum (§ 61)
Í kunngerð nr. 175 frá 16. desember 2020 er ásett, at 13 ymisk triðjalond hava nøktandi verndarstøði.
Fullgóð trygd kann m.a. veitast í standardásetingum um dátuvernd, sum eru góðkendar av landsstýrismanninum. Góðkendar standardásetingar eru tøkar á heimasíðuni hjá Dátueftirlitinum.
Ætlar dátuábyrgdarin at nýta cloudloysnir mælir Dátueftirlitið fyrst og fremst til, at dátuábyrgdarin tryggjar sær, at upplýsingarnar verða goymdar í einum ES- ella EBS-landi.
Í loysnum hjá stórum altjóða tænastuveitararum er í útgangsstøðinum møguligt at velja, at persónupplýsingar ikki skulu flytast út úr ES/EBS.
Um tað ikki ber til at tryggja sær, at upplýsingarnar vera verandi í ES/EBS, er umráðandi at finna útav, hvar upplýsingarnar fara. Verða upplýsingarnar goymdar í einum av teimum 13 tryggu triðjalondunum kunnu upplýsingarnar flytast til viðkomandi land, sambært § 60 í dátuverndarlógini og kunngerðini um nøktandi verndarstøði.
Verða upplýsingar goymdar í einum ótryggum triðjalandi skal dátuábyrgdarin tryggja sær, at grundarlag er fyri flutninginum. Hetta grundarlagið er oftast standardásetingar um dátuvernd, sum veita fullgóða trygd, sbrt. § 61. Tað merkir, at sjálvt um landið, sum avtaluparturin er í, ikki tryggjar nøktandi verndarstøðið, kunnu partarnir sínamillum avtala eitt nøkandi støði.
Stóru tænastuveitararnir hava ofta góðkendar standardásetingar um dátuvernd sum part av sínum standardtreytum fyri at nýta loysnina, um upplýsingar ikki verða goymdar í ES/EBS.
2. Dátuviðgeri og dátuviðgeraravtala
Tá ein cloudloysn verður nýtt er talan um eina dátuviðgerarstøðu. Veitarin av cloudloysnini er dátuviðgeri hjá stovni ella fyritøku, og tí skal ein avtala skipa viðurskiftini millum partarnar, sbrt. § 41, stk. 2 í dátuverndarlógini.
Tá man velur eina cloudloysn er tað neyðugt at kanna um viðkomandi tænasta bjóðar eina avtalu um viðgerð av persónupplýsingum, og hvørjar ásetingar eru í hesu avtalu. Um tað framgongur, at avtalan er “GDPR-compliant” lýkur hon í útgangsstøðinum eisini krøvini í føroysku lógini.
Verða upplýsingar fluttar til eitt ótrygt triðjaland framgongur hetta ofta av avtaluni, undir hesum eisini, hvat grundarlagið undir flutninginum so er, t.d. um tað eru standardásetingarnar um dátuvernd hjá ES-nevndini, sum eisini eru góðkendar í Føroyum, sbrt. § 61, stk. 2.
3. Trygd í samband við viðgerðina av persónupplýsingum
Sambært § 46 skal dátuábyrgdarin seta hóskandi tøknilig og bygnaðarlig tiltøk í verk fyri at tryggja eitt verndarstøði, sum hóskar til váðarnar við viðgerðini. Dátuábyrgdarin skal í hesum sambandi hava fyrilit fyri verandi tøkniliga støði, verksetanarkostnaði og slagi av viðgerð, vavi, samanhangi
og endamáli, umframt sannlíku váðunum fyri tann einstaka.
Ásetingin um viðgerðartrygd byggir á eina váðagrundaða tilgongd til dátuvernd. Tað merkir, at tá mett verður um, hvat trygdarstøðið skal verða, verða serlig atlit tikin til teir váðar, sum standast av viðgerðini. Hetta hevur yvirskipað við sær, at jú størri váðin er, jú hægri krøv eru til trygdina.
§ 46 er eisini galdandi, um dátuábyrgdarin velur cloydloysnir. Hetta hevur við sær, at dátuábyrgdarin ítøkiliga eigur at meta um teir váðar, sum standast at nýta eina cloudloysn. Tað er grundleggjandi tann sama váðameting, sum skal gerast um persónupplýsingar verða goymdar í Føroyum ella uttanfyri Føroyar. Tó er eyðsæð, at tað ikki eru somu váðar, sum gera seg galdandi.
Um niðurstøðan av váðametingini er, at váðin er ov høgur, og at tey trygdartiltøk, sum dátuábyrgdarin kann seta í verk ella sum cloudloysnin bjóðar, ikki í nøktandi mun minka um hesar váðar, er neyðugt at finna eina aðra loysn.