Allar spurningar og svör

Öryggisbrestur

Öryggisbrestur felur í sér brest á öryggi sem leiðir til óviljandi eða ólögmætrar eyðingar persónuupplýsinga, sem eru sendar, varðveittar eða unnar á annan hátt, eða að þær glatist, breytist, verði birtar eða aðgangur veittur að þeim í leyfisleysi. Ábyrgðaraðili þarf að tilkynna Persónuvernd innan 72 klst. um öryggisbrest sem hefur áhrif á einstaklinga.

Hvað er öryggisbrestur

Öryggisbrestur felur í sér brest á öryggi sem leiðir til óviljandi eða ólögmætrar eyðingar persónuupplýsinga, sem eru sendar, varðveittar eða unnar á annan hátt, eða að þær glatist, breytist, verði birtar eða aðgangur veittur að þeim í leyfisleysi.

  • Helstu tegundir öryggisbresta:
    • 1. Öryggisbrestur sem felur í sér brot á trúnaði (e. Confidentiality breach) – óheimil miðlun eða miðlun fyrir mistök á persónuupplýsingum eða óheimill aðgangur að þeim.
    • 2. Öryggisbrestur sem leiðir til þess að upplýsingar verða óaðgengilegar (e. Availability breach) – tap á aðgengi að persónuupplýsingum eða eyðilegging þeirra fyrir mistök eða án heimildar.
    • 3. Öryggisbrestur sem felur í sér breytingu á persónuupplýsingum (e. Integrity breach) – breyting á persónuupplýsingum fyrir mistök eða án heimildar.

Ef öryggisbrestur verður skal gera:

  • Áhættumat

Þegar ábyrgðaraðili verður var við öryggisbrest er mikilvægt að hann leiti bæði leiða til að takmarka tjón sem af brestinum kann að hljótast og leggi jafnframt mat á þá áhættu sem öryggisbresturinn kann að hafa í för með sér.

  • Mat á áhættu ætti einkum að taka tillit til eftirfarandi atriða:
    • Tegund öryggisbrests
    • Eðli, viðkvæmni og magn persónuupplýsinga
    • Hversu auðvelt er að persónugreina einstaklinga
    • Hversu alvarleg áhrifin eru fyrir einstaklinga
    • Sérstakt eðli einstaklinganna (líkt og börn eða aðrir viðkvæmir hópar)
    • Fjöldi þeirra einstaklinga sem verða fyrir öryggisbrestinum
    • Sérstakt eðli ábyrgðaraðilans
    • Almenn atriði
  • Skrá yfir öryggisbresti
    • Ábyrgðaraðila ber að halda skrá yfir hvers kyns öryggisbresti sem verða við vinnslu persónuupplýsinga. Þar skulu tilgreind málsatvik, áhrif og þær aðgerðir til úrbóta sem gripið var til.
    • Þá er mælt með því að ábyrgðaraðili skrái einnig niður rök fyrir ákvarðanatöku þegar öryggisbrestur á sér stað og þeim ráðstöfunum sem gerðar eru. Slík skráning aðstoðar t.d. í samskiptum við Persónuvernd, berist tilkynning of seint.

Hvenær og hvað á að tilkynna til Persónuverndar

Hvenær skal tilkynna til Persónuverndar

  • Tilkynna ber Persónuvernd um öryggisbrest nema ef ólíklegt þykir að bresturinn leiði til áhættu fyrir réttindi og frelsi einstaklinga.
  • Tilkynna skal um öryggisbrest við meðferð persónuupplýsinga án ótilhlýðilegrar tafar, ef mögulegt er innan 72. klst. frá því að brestsins verður vart.
  • Sé Persónuvernd ekki tilkynnt um brestinn innan 72 klst. skulu ástæður fyrir töfinni fylgja tilkynningunni.

Meðal annars skal veita Persónuvernd eftirfarandi upplýsingar:

  • eðli öryggisbrestsins, þ.m.t. ef hægt er, þeim flokkum og áætluðum fjölda skráðra einstaklinga sem hann varðar og flokkum og áætluðum fjölda skráninga persónuupplýsinga sem um er að ræða,
  • nafn og samskiptaupplýsingar persónuverndarfulltrúa eða annars tengiliðar þar sem hægt er að fá frekari upplýsingar,
  • afleiðingar öryggisbrests við meðferð persónuupplýsinga,
  • ráðstafanir sem ábyrgðaraðili hefur gert eða fyrirhugar að gera vegna öryggisbrests við meðferð persónuupplýsinga, þ.m.t. eftir því sem við á, ráðstöfunum til að milda hugsanleg skaðleg áhrif hans.
  • Þótt ekki liggi allar eða nákvæmar upplýsingar fyrir skal það ekki koma í veg fyrir að tilkynning sé send tímanlega inn enda er unnt að senda Persónuvernd uppfærðar upplýsingar þegar þær liggja fyrir. 

Hvenær og hvað á að tilkynna skráðum einstaklingum

  • Ef líklegt er að öryggisbrestur við meðferð persónuupplýsinga leiði af sér mikla áhættu fyrir réttindi og frelsi einstaklinga skal ábyrgðaraðili tilkynna skráðum einstaklingi um brestinn án ótilhlýðilegrar tafar.
    • Tilkynningin skal vera á skýru og einföldu máli og geyma lýsingu á eðli brestsins. Jafnframt skal tilkynningin geyma upplýsingar um eftirfarandi:
      • nafn og samskiptaupplýsingar persónuverndarfulltrúa eða annars tengiliðar þar sem hægt er að fá frekari upplýsingar,
      • afleiðingar öryggisbrests við meðferð persónuupplýsinga,
      • ráðstafanir sem ábyrgðaraðili hefur gert eða fyrirhugar að gera vegna öryggisbrests við meðferð persónuupplýsinga, þ.m.t. eftir því sem við á, ráðstöfunum til að milda hugsanleg skaðleg áhrif hans.
  • Ekki þarf að senda skráðum einstaklingi tilkynningu ef:
    • Ef gripið hefur verið til viðeigandi ráðstafana, einkum í því skyni að gera persónuupplýsingarnar ólæsilegar.
    • Ef gerðar hafa verið ráðstafanir sem gera það ólíklegt að aftur komi til jafnmikillar áhættu fyrir réttindi og frelsi skráðra einstaklinga
    • Það myndi hafa í för með sér óhóflega fyrirhöfn en þá ber að birta upplýsingar um brestinn með almennum hætti.

Raunhæf dæmi um öryggisbresti

Hér má sjá leiðbeiningar með raunhæfum dæmum um öryggisbresti.

Tölfræði yfir tilkynnta öryggisbresti

Hér má sjá tölfræði yfir tilkynnta öryggisbresti til Persónuverndar árið 2022.

Fáni EvrópusambandsinsVinnsla þessara spurninga og svara var styrkt af Evrópusambandinu - The European Union's Rights, Equality and Citizenship Programme (2014-2020)

Spurningarnar og svörin eru unnin af Persónuvernd sem ber fulla ábyrgð á þeim. Framkvæmdastjórn Evrópusambandsins ber enga ábyrgð á notkun þeirra upplýsinga sem svörin hafa að geyma.

Var efnið hjálplegt? Nei