Vinnsluaðilar - Hlutverk og ábyrgð

Útgefnir bæklingar

Vinnsluaðilar

Hlutverk og ábyrgð

Í nýju persónuverndarlöggjöfinni eru gerðar sérstakar kröfur til vinnsluaðila sem þeir þurfa að vera meðvitaðir um og fylgja. 


Hver er vinnsluaðili?

Vinnsluaðili getur verið fyrirtæki, stjórnvald eða einstaklingur sem vinnur persónuupplýsingar á vegum ábyrgðaraðila á grundvelli sérstaks samnings. Ábyrgðaraðili er venjulega viðskiptavinur vinnsluaðilans og er sá sem ákveður tilgang og aðferð við vinnsluna.

Vinnsluaðilinn ákveður ekki, öfugt við ábyrgðaraðilann, hvernig eða í hvaða tilgangi persónuupplýsingar eru meðhöndlaðar.

 

Vinnsluaðilar eru til dæmis:

  • upplýsingatæknifyrirtæki sem veita tölvuþjónustu
  • markaðs-, auglýsinga- eða samskiptafyrirtæki sem vinna persónuupplýsingar
  • bókhaldsfyrirtæki sem sinna launavinnslu
  • ráðningarfyrirtæki

Þegar vinnsluaðili tekur að sér verkefni fyrir ábyrgðaraðila verður hann að geta lagt fram nægilegar tryggingar fyrir því að hann geri bæði tæknilegar og skipulagslegar ráðstafanir til að tryggja að vinnslan sé í samræmi við löggjöfina og vernd einstaklinga sé tryggð.

Persónuvernd hefur heimildir til að leggja á þungar sektir vegna brota á persónuverndarlöggjöfinni. Á það bæði við um ábyrgðaraðila og vinnsluaðila.

Mitt fyrirtæki er vinnsluaðili – hverjar eru okkar skyldur? 

1. Gagnsæi og rekjanleiki – ábyrgðarskylda

  • Gera vinnslusamning við ábyrgðaraðila
  • Útbúa skriflegan lista yfir fyrirmæli ábyrgðaraðila
  • Eftir atvikum fá skriflegt leyfi frá ábyrgðaraðila til að nota annan vinnsluaðila (undirvinnsluaðila)
  • Veita ábyrgðaraðila allar nauðsynlegar upplýsingar til að hann geti sýnt fram á reglufylgni
  • Útbúa vinnsluskrá

2. Innbyggð og sjálfgefin persónuvernd

Innbyggð og sjálfgefin persónuvernd felur í sér að hugað sé að persónuvernd á öllum stigum, ekki sé gengið lengra en þörf er á og gerðar séu nauðsynlegar verndarráðstafanir. Þetta felur m.a. í sér að:

  • ábyrgðaraðili hafi kost á því að stilla kerfi sjálfur og ekki sé gert að tæknilegu skilyrði að fyllt sé út í reiti sem eiga að vera valkvæðir, t.d. innsláttur á kennitölu í verslunarkerfi
  • það sé sjálfgefið að eingöngu sé unnið með þær upplýsingar sem eru nauðsynlegar vegna tilgangs vinnslu
  • að virkir gagnagrunnar séu með sjálfvirkum eða handvirkum hætti hreinsaðir í lok tilgreinds tímabils
  • hinn skráði hafi aðgang að upplýsingunum þegar hann óskar eftir því.

3. Öryggi persónuupplýsinga

Ein af höfuðskyldum vinnsluaðila er að gera viðeigandi tæknilegar og skipulagslegar ráðstafanir til að tryggja viðunandi öryggi miðað við áhættuna.

Vinnsluaðili þarf því:

  • að sjá til þess að allir starfsmenn sem koma að vinnslu persónuupplýsinga hafi  undirritað trúnaðaryfirlýsingu eða falli undir lögbundna trúnaðarskyldu
  • að gera ráðstafanir til að ábyrgðaraðila sé tilkynnt um öryggisbrest þegar hann uppgötvast
  • að ganga úr skugga um að öryggisráðstafanir séu í samræmi við áhættu, m.a. með gerð áhættumats og ákvörðun öryggisráðstafana á borð við notkun gerviauðkenna eða með því að dulkóða upplýsingar. Hann þarf einnig að geta gert persónuupplýsingar tiltækar eða endurheimt þær ef eitthvað kemur upp á, og meta reglulega skilvirkni ráðstafana til að tryggja öryggi.
  • annaðhvort að eyða persónuupplýsingum eða skila þeim til ábyrgðaraðila þegar vinnslunni lýkur, í samræmi við fyrirmæli ábyrgðaraðilans.

4. Aðstoð gagnvart ábyrgðaraðila við reglufylgni

  • Upplýsa ábyrgðaraðilann um það án tafar ef vinnsluaðilinn telur fyrirmæli hans brjóta í bága við persónuverndarlög
  • Aðstoða ábyrgðaraðila við að framfylgja reglum laganna um réttindi einstaklinga
  • Aðstoða við að tryggja öryggi, útbúa mat á áhrifum á persónuvernd og tilkynna Persónuvernd um öryggisbresti 
 

Hvar eigum við að byrja?

1. Skoða hvort tilnefna þurfi persónuverndarfulltrúa

Í vissum tilvikum er skylt að tilnefna persónuverndarfulltrúa. Nánari upplýsingar um hvenær skylt er að tilnefna slíkan fulltrúa má finna á vefsíðu Persónuverndar.

2. Gera vinnslusamning

Vinnsluaðili og ábyrgðaraðili verða að gera skriflegan samning sín á milli sem útlistar viðfangsefni, umfang, tímabil og tilgang vinnslunnar auk skyldna hvors aðila. Persónuvernd hefur útbúið fyrirmynd að vinnslusamningi sem hægt er að nálgast á vefsíðu stofnunarinnar.

3. Útbúa skrá yfir vinnslustarfsemi

Allir vinnsluaðilar þurfa að útbúa skrá yfir vinnslustarfsemi. Fyrirmynd að slíkri skrá er að finna á vefsíðu Persónuverndar, ásamt leiðbeiningum um gerð hennar.

4. Uppfæra áhættumat og öryggisráðstafanir

Velja þarf viðeigandi öryggisráðstafanir í hverju tilviki, meðal annars á grundvelli áhættumats. Leiðbeiningar um gerð áhættumats og val á öryggisráðstöfunum er að finna á vefsíðu Persónuverndar.

Hér má nálgast bæklinginn á PDF-formi.


Fáni EvrópusambandsinsÞessi bæklingur var fjármagnaður af Evrópusambandinu - The European Union's Rights, Equality and Citizenship Programme (2014-2020)

Efni þessa bæklings er unnið af Persónuvernd sem ber fulla ábyrgð á því. Framkvæmdastjórn Evrópusambandsins ber enga ábyrgð á notkun þeirra upplýsinga sem hann hefur að geyma.


Var efnið hjálplegt? Nei