Eftirlit ábyrgðaraðila með öryggi við vinnslu persónuupplýsinga hjá vinnsluaðila

Ef ábyrgðaraðili að vinnslu persónuupplýsinga fær einhvern annan til að vinna upplýsingarnar fyrir sig, vinnsluaðila, skal hann einungis leita til vinnsluaðila sem veitir nægilegar tryggingar fyrir persónuvernd skráðra einstaklinga og fyrir viðeigandi tæknilegum og skipulagslegum ráðstöfunum, til að vinnslan uppfylli kröfur persónuverndarlöggjafarinnar. 

Vinnsla af hálfu vinnsluaðila skal byggjast á samningi við ábyrgðaraðila eða á annarri réttargerð samkvæmt lögum. Persónuvernd hefur útbúið ítarlegar leiðbeiningar fyrir vinnsluaðila og fyrirmynd að vinnslusamningi.

Vinnsluaðili þarf að fylgja fyrirmælum ábyrgðaraðila um vinnsluna sem mælt skal fyrir um í vinnslusamningi eða annarri réttargerð. Vinnsluaðilinn má eingöngu vinna persónuupplýsingar samkvæmt slíkum skjalfestum fyrirmælum. Hann þarf einnig að sjá til þess, í samvinnu við ábyrgðaraðilann, að vinnslan samrýmist persónuverndarlöggjöfinni og að öryggi persónuupplýsinganna sé tryggt í samræmi við löggjöfina. Hafa þarf í huga að vinnsluaðilar bera, samhliða ábyrgðaraðila, sjálfstæða ábyrgð á öryggi við vinnslu persónuupplýsinga.

Hvers vegna ber ábyrgðaraðila að tryggja öryggi persónuupplýsinga hjá vinnsluaðila?

Ein af meginreglum persónuverndarlöggjafarinnar er ábyrgðarskyldan. Í henni felst einkum tvennt. Annars vegar að ábyrgðaraðilinn þarf að fara að meginreglum löggjafarinnar og hins vegar þarf hann að geta sýnt fram á það. 
Í þessu felst að í vinnslusamningi eða annarri réttargerð þarf að liggja fyrir hvaða upplýsingakerfi eða aðra tækni vinnsluaðili notar og hvaða tæknilegu og skipulagslegu öryggisráðstafanir hann skuli gera. Það er á hinn bóginn ekki nóg að gera vinnslusamning eða byggja á annars konar réttargerð heldur þarf ábyrgðaraðili einnig að ganga úr skugga um að vinnsluaðili fari sannarlega að öllum fyrirmælum sem þar er kveðið á um.

Það að þurfa að sýna fram á hvernig farið er að reglunum felur í sér að ábyrgðaraðili þarf að geta sannað það, t.d. með skjölum og verklagsreglum, og að geta sýnt fram á skilvirkni ráðstafana sem hann hefur ákveðið að beita. 

Hvernig á að tryggja öryggi persónuupplýsinga hjá vinnsluaðila?

Það fer fyrst og fremst eftir niðurstöðu áhættumats hjá ábyrgðaraðila, eða eftir atvikum mati á áhrifum á persónuvernd (MÁP), hversu hátt öryggisstigið þarf að vera hjá vinnsluaðila og hversu miklar öryggisráðstafanir þarf að gera. Þumalputtareglan er sú að því viðkvæmari persónuupplýsingar og/eða umfangsmeiri vinnsla er um að ræða, því meiri öryggisráðstafanir þarf að gera. Þannig eru ekki gerðar t.d. sömu kröfur til kerfis sem heldur utan um viðskiptamannaskrá (nafn, heimilisföng, símanúmer) og kerfis sem inniheldur viðkvæmar heilsufarsupplýsingar, s.s. sjúkraskrá.

Áður en vinnsla hefst þurfa ábyrgðaraðili og vinnsluaðili að ákveða hvaða öryggisráðstafanir eru gerðar með hliðsjón af áhættunni af vinnslunni. Vinnsluaðilinn þarf að innleiða þessar ráðstafanir í samráði við ábyrgðaraðila. 

Viðeigandi öryggisráðstafanir geta t.d. verið:

• regluleg uppfærsla kerfa,
• dulkóðun upplýsinga
• notkun eldveggja,
• aðgangsstýring,
• aðgerðaskráning,
• öryggisafritun
• kröfur um sterkt lykilorð, rafræn skilríki, tvöfalda auðkenningu o.fl. .

Þær öryggisráðstafanir sem ábyrgðaraðili og vinnsluaðili koma sér saman um skal skjalfesta í vinnslusamningnum ásamt því hvernig eftirliti skuli háttað.

Hver getur sinnt eftirliti með öryggi persónuupplýsinga hjá vinnsluaðila og hvernig skal því háttað?

Það fer eftir flækjustigi vinnsluaðferða og hvort ábyrgðaraðili býr yfir nauðsynlegri þekkingu á upplýsingatækni hvort hann getur sjálfur sinnt eftirfylgni eða fær utanaðkomandi og óháðan þriðja aðila til að tryggja að vinnsluaðili fylgi fyrirmælum og innleiði viðeigandi öryggisráðstafanir. Ábyrgðaraðili getur einnig sinnt tilteknum þáttum þessarar eftirfylgni en fengið ráðgjöf frá þriðja aðila eða aðkomu hans að öðrum þáttum.
Hvernig eftirliti skal háttað fer eftir áhættumatinu sem gert var í upphafi. Eftirlitið getur farið fram með vettvangsferðum til vinnsluaðila eða með skriflegri upplýsingaöflun. Einnig er hægt að blanda saman báðum aðferðunum. Ef áhættan við vinnslu persónuupplýsinga er lítil getur verið nóg að fá skriflega staðfestingu frá vinnsluaðila um að öryggis sé gætt. Því meiri sem áhættan er metin, því meiri þörf er á ítarlegu eftirliti, t.d. með vettvangsathugunum. Ábyrgðaraðili getur t.d. kosið að mæta reglulega á starfsstöð vinnsluaðila og gera skyndiskoðanir (e. spot-check).

Ef óháður utanaðkomandi þriðji aðili er fenginn til að hafa eftirlit með öryggi persónuupplýsinga hjá vinnsluaðila er mikilvægt að ábyrgðaraðili fullvissi sig um að sá aðili geri það með hliðsjón af fyrirmælum til vinnsluaðila um tæknilegar og skipulagslegar öryggisráðstafanir.

Hversu oft á ábyrgðaraðili að tryggja vinnsluöryggi hjá vinnsluaðila?

Tíðni eftirlits með vinnsluaðilanum ræðst af áhættumatinu. Ef áhætta er mikil, getur þurft að skoða öryggisráðstafanir vinnsluaðilans árlega eða jafnvel á hálfs árs fresti. Það fer eftir aðstæðum og þarf að meta í hvert sinn. Ef áhættan hefur á hinn bóginn verið metin lítil er nóg að sinna eftirlitinu sjaldnar.

Ef unnið er í umhverfi sem þróast og breytist hratt þarf eftirlitið að vera tíðara í samræmi við breytingarnar.

Hvernig er öryggi hjá undirvinnsluaðila tryggt?

Ábyrgðaraðili þarf að samþykkja skriflega að vinnsluaðili hans megi útvista hluta af þeim verkefnum sem hann hefur tekið að sér til undirvinnsluaðila. Í þeim tilvikum ber vinnsluaðili ábyrgð á því að undirvinnsluaðili starfi í samræmi við fyrirmæli ábyrgðaraðila. Vinnsluaðila ber einnig að sinna eftirliti með undirvinnsluaðila, með sama hætti og ábyrgðaraðili sinnir eftirliti með vinnsluaðila. Hvað ábyrgðaraðila varðar, nægir í flestum tilvikum að fá staðfestingu frá vinnsluaðila um að hann hafi sinnt umsömdu eftirliti en ábyrgðaraðili ber eftir sem áður ábyrgð á því að farið sé að ákvæðum persónuverndarlöggjafarinnar.