Allar spurningar og svör

Innbyggð og sjálfgefin persónuvernd

Innbyggð og sjálfgefin persónuvernd tekur til þeirra ráðstafana sem eru innbyggðar í hugbúnað, hannaðar til að fylgja meginreglum persónuverndar og að sjálfgefið sé að eingöngu nauðsynlegar upplýsingar séu unnar. 

Hvað er innbyggð persónuvernd?

Ráðstafanir sem eru innbyggðar í hugbúnað, upplýsingakerfi og vinnslu frá upphafi og eru hannaðar til að fylgja meginreglum persónuverndar – Sjálfvirk eyðing, gerviauðkenni, uppfærslur, o.s.frv.

Hvað er sjálfgefin persónuvernd?

sjálfgefið sé að eingöngu nauðsynlegar upplýsingar séu unnar og ekki umfram það.

Að tekið sé tillit til eðlis, umfangs, samhengis og tilgangs vinnslu þegar unnið er með persónuupplýsingar.

Dæmi um sjálfgefna persónuvernd væri að aðgengi að tilteknum persónuupplýsingum væri sjálfgefið einungis bundið við hinn skráða, en hann gæti svo valið með persónustillingum hverjum hann veiti aðgang að upplýsingunum.

Hvert er hlutverk ábyrgðaraðila og vinnsluaðila varðandi innbyggða og sjálfgefna persónuvernd?

Ábyrgðaraðili skal bæði við ákvörðun um hvaða aðferðum skal beita við vinnsluna og þegar vinnslan sjálf fer fram, gera viðeigandi tæknilegar ráðstafanir. Þær þurfa að vera hannaðar til að framfylgja með skilvirkum hætti meginreglum um persónuvernd, þar á meðal lágmörkun gagna, og fella nauðsynlegar verndarráðstafanir inn í vinnsluna til að uppfylla kröfur reglugerðarinnar og vernda réttindi skráðra einstaklinga.

Þá skal ábyrgðaraðili gera viðeigandi tæknilegar og skipulagslegar ráðstafanir til að tryggja að einungis nauðsynlegar persónuupplýsingar séu unnar hverju sinni. Hvaða upplýsingar eru nauðsynlegar tekur mið af tilgangi vinnslunnar.. Skylda þessi gildir um það hversu miklum persónuupplýsingum er safnað, að hvaða marki unnið er með þær, hversu lengi þær eru varðveittar og aðgang að þeim. Einkum skal tryggja með ráðstöfunum að það sé sjálfgefið að persónuupplýsingar verði ekki gerðar aðgengilegar óviðkomandi án íhlutunar viðkomandi einstaklings.

Ábyrgðaraðili ber ábyrgð á því að feli hann öðrum vinnslu persónuupplýsinga fyrir sína hönd skal hann einungis leita til vinnsluaðila sem veitir nægjanlegar tryggingar fyrir því að þeir geri viðeigandi tæknilegar og skipulagslegar ráðstafanir til að vinnslan uppfylli kröfur reglugerðarinnar og að réttindi skráðra einstaklinga séu tryggð.

Ef tveir eða fleiri ábyrgðaraðilar ákveða sameiginlega tilgang vinnslunnar og aðferðir við hana skulu þeir teljast vera sameiginlegir ábyrgðaraðilar.

Hvernig tryggi ég að framfylgt sé innbyggðri og sjálfgefinni persónuvernd?

Slíkar ráðstafanir geta m.a. falið í sér að draga sem mest úr vinnslu persónuupplýsinga, færa þær undir gerviauðkenni eins skjótt og unnt er, gagnsæi að því er varðar eiginleika persónuupplýsinga og vinnslu þeirra, að gera skráðum einstaklingi kleift að fylgjast með vinnslu upplýsinganna og gera ábyrgðaraðila kleift að taka upp og bæta öryggisþætti.

Bent skal á að þegar framleiðendur vöru, þjónustu og hugbúnaðar þrói, hanni, velji og noti hugbúnað, vöru og þjónustu, sem er byggð á vinnslu persónuupplýsinga, eða vinni með persónuupplýsingar í störfum sínum, ætti að hvetja þá til að taka tillit til réttarins til persónuverndar strax í vöruþróun og hönnun. Jafnframt þarf að ganga úr skugga um, að teknu tilhlýðilegu tilliti til nýjustu tækniþekkingar, að ábyrgðaraðilar og vinnsluaðilar geti uppfyllt skyldur sínar um persónuvernd.

Taka eigi einnig tillit til meginreglnanna um innbyggða og sjálfgefna persónuvernd í tengslum við opinber útboð.

Hönnuðir upplýsingakerfa þurfa þannig að hanna hugbúnað sinn og þjónustu frá upphafi með vernd persónuupplýsinga í huga, t.d. með innbyggðum eða sjálfgefnum persónuverndarstillingum. Þetta er gert í þeim tilgangi að ábyrgðaraðilar geti í kjölfarið mætt þeim kröfum sem lög og reglur gera til þeirra.

Innbyggð persónuvernd gerir ráð fyrir því sem fyrr segir að vernd persónuupplýsinga sé innbyggð í vörur og þjónustu, t.d. hugbúnað og upplýsingakerfi, strax frá upphafi, með því að draga úr líkum á að öryggisbrestur verði. Sjálfgefin persónuvernd miðast við að persónuupplýsingar verði ekki sjálfkrafa gerðar aðgengilegar almenningi, nema með mannlegri íhlutun.

Ný tækni, vara og þjónusta ætti því að vera þannig úr garði gerð að hún uppfylli skilyrði hinnar nýju persónuverndarlöggjafar.

Reglan um innbyggða og sjálfgefna persónuvernd er þó ekki eingöngu bundin við þá sem þróa nýjan hugbúnað eða vöru heldur þurfa ábyrgðaraðilar vinnslu persónuupplýsinga einnig að huga að reglunni við alla vinnslu persónuupplýsinga.

Hvað eru sjálfgefnar persónuverndarstillingar?

Þau fyrirtæki sem starfa við hönnun og þróun upplýsingakerfa þurfa að hafa í huga hvernig vernd þeirra persónuupplýsinga, sem unnið er með í kerfum þeirra, skuli vera tryggð.

Dæmi um sjálfgefnar persónuverndarstillingar má nefna að við birtingu ljósmynda á vefsíðu eða samfélagsmiðli verði persónuverndarstillingar í upphafi stilltar þannig að tiltekin mynd sé einungis sýnileg eiganda en ekki opin almenningi, þannig að viðkomandi þurfi ekki sjálfur að grípa til aðgerða til að vernda upplýsingar sínar gegn óviðkomandi.

Fáni EvrópusambandsinsVinnsla þessara spurninga og svara var styrkt af Evrópusambandinu - The European Union's Rights, Equality and Citizenship Programme (2014-2020)

Spurningarnar og svörin eru unnin af Persónuvernd sem ber fulla ábyrgð á þeim. Framkvæmdastjórn Evrópusambandsins ber enga ábyrgð á notkun þeirra upplýsinga sem svörin hafa að geyma.

Var efnið hjálplegt? Nei