Öryggisbrestur

Hvað er öryggisbrestur?

Ný persónuverndarlöggjöf inniheldur nýjar reglur varðandi tilkynningar um öryggisbresti, sem ekki var að finna í eldri löggjöf.

Öryggisbrestur felur í sér brest á öryggi sem leiðir til óviljandi eða ólögmætrar eyðingar persónuupplýsinga, sem eru sendar, varðveittar eða unnar á annan hátt, eða að þær glatist, breytist, verði birtar eða aðgangur veittur að þeim í leyfisleysi.

Getur þetta til dæmis verið þegar gögnum er óvart eytt, eða dulkóðunarlykill, sem tengir saman auðkenni einstaklinga og dulkóðaðar upplýsingar, tapast. Annað dæmi er ef upplýsingar, sem leynt skulu fara, eru birtar fyrir mistök.

Mikilvægt er að ábyrgðaraðili meti allar hugsanlegar afleiðingar öryggisbrestsins, en það fer eftir aðstæðum hvort nauðsynlegt sé að tilkynna um hann til Persónuverndar og upplýsa hina skráðu.

Sjá nánar í leiðbeiningum Persónuverndar um öryggisbresti.

Hvenær á að tilkynna Persónuvernd um öryggisbrest?

Ef um öryggisbrest við meðferð persónuupplýsinga er að ræða skal ábyrgðaraðili tilkynna Persónuvernd um brestinn innan 72 klst., nema ólíklegt þyki að hann leiði til áhættu fyrir réttindi og frelsi einstaklinga.

Hér er um matskennt atriði að ræða, en rétt er í vafatilvikum að sinna tilkynningarskyldunni.

Sé Persónuvernd ekki tilkynnt um brestinn innan 72 klst. skulu ástæður fyrir töfinni fylgja tilkynningunni.

Hvenær telst ábyrgðaraðili hafa orðið var við öryggisbrest?

Ábyrgðaraðili telst hafa orðið var við öryggisbrest þegar hann hefur ákveðna vissu fyrir því að öryggisbrestur hafi átt sér stað sem stofnað hefur persónuupplýsingum í hættu.

Þetta fer því eftir aðstæðum hverju sinni. Í sumum tilvikum er skýrt að um öryggisbrest hafi verið að ræða en í öðrum kann að taka nokkurn tíma að fá staðfest hvort persónuupplýsingar hafi komist í hættu.

Áhersla skal vera á skjót viðbrögð hjá ábyrgðaraðila við að rannsaka tilvikið, til að ákvarða hvort öryggisbrestur hafi átt sér stað – og ef svo er, að gera viðeigandi ráðstafanir og tilkynna um hann til Persónuverndar innan 72 stunda nema ólíklegt þyki að bresturinn leiði til áhættu fyrir réttindi og frelsi einstaklinga. Eftir atvikum þarf einnig að tilkynna hinum skráðu um brestinn .

Þegar ábyrgðaraðili fær fyrst upplýsingar um mögulegan öryggisbrest hefur hann svigrúm í stuttan tíma til að komast að því hvort um slíkan brest hafi í raun verið að ræða. Nauðsynlegt er að ábyrgðaraðili byrji á að meta áhættu fyrir einstaklinga, í tengslum við mat á því hvort nauðsynlegt sé að upplýsa þá um öryggisbrest.

Ábyrgðaraðili þarf að hafa tilbúna verkferla til að uppgötva og takast á við öryggisbresti, þ.á.m. með því að tilkynna um þá.

Hvaða upplýsingar er skylt að veita Persónuvernd?

Þegar ábyrgðaraðili tilkynnir um öryggisbrest til Persónuverndar skal í tilkynningunni a.m.k.:

• lýsa eðli öryggisbrestsins, þ.m.t. ef hægt er, þeim flokkum og áætluðum fjölda skráðra einstaklinga sem hann varðar og flokkum og áætluðum fjölda skráninga persónuupplýsinga sem um er að ræða,
• gefa upp nafn og samskiptaupplýsingar persónuverndarfulltrúa eða annars tengiliðar þar sem hægt er að fá frekari upplýsingar,
• lýsa líklegum afleiðingum öryggisbrests við meðferð persónuupplýsinga,
• lýsa þeim ráðstöfunum sem ábyrgðaraðili hefur gert eða fyrirhugar að gera vegna öryggisbrests við meðferð persónuupplýsinga, þ.m.t. eftir því sem við á, ráðstöfunum til að milda hugsanleg skaðleg áhrif hans. 

Þótt ekki liggi allar upplýsingar fyrir skal það ekki koma í veg fyrir að tilkynning sé send tímanlega inn. Heimilt er að áætla fjölda einstaklinga sem og fjölda skráa sem öryggisbrestur hefur áhrif á.

Í hvaða tilvikum þarf ekki að senda Persónuvernd tilkynningu um öryggisbrest?

Ekki þarf að tilkynna Persónuvernd um öryggisbrest sem ólíklegt þykir að leiði til áhættu fyrir réttindi og frelsi einstaklinga. Sem dæmi um slíka bresti má nefna að persónuupplýsingar hafi þegar verið almenningi aðgengilegar á lögmætan hátt þegar bresturinn átti sér stað, sem og tap á búnaði sem er örugglega dulkóðaður.

Hvenær þarf að upplýsa einstaklinga um öryggisbrest?

Ekki þarf að upplýsa einstaklinga um alla öryggisbresti.

Ef líklegt er að öryggisbrestur við meðferð persónuupplýsinga hafi í för með sér mikla áhættu fyrir réttindi og frelsi einstaklinga skal ábyrgðaraðili hins vegar tilkynna hinum skráða um brestinn án ótilhlýðilegrar tafar.

Megintilgangur þessa er að veita einstaklingum upplýsingar um þau úrræði sem þeir geta sjálfir gripið til í því skyni að vernda sig, s.s. að setja nýtt lykilorð.

Ef ábyrgðaraðili getur sýnt fram á að eitt eða fleiri eftirfarandi skilyrða sé uppfyllt þarf ekki að gera hinum skráða viðvart um öryggisbrest:

• Ábyrgðaraðilinn hefur gert viðeigandi tæknilegar og skipulagslegar ráðstafanir vegna þeirra persónuupplýsinga sem öryggisbresturinn hafði áhrif á, einkum til að gera þær ólæsilegar hverjum sem ekki á að hafa aðgang að þeim, s.s. með dulkóðun.
• Ábyrgðaraðilinn hefur gert ráðstafanir strax í kjölfar öryggisbrestsins til þess að útiloka þá áhættu sem skapaðist í kjölfar hans þannig að ekki sé lengur líklegt að hann hafi alvarlegar afleiðingar. Sem dæmi má nefna gripið hafi verið til aðgerða vegna aðgangs, sem einstaklingur fékk að persónuupplýsingum án heimildar, áður en hann gat gert eitthvað við þær.
• Ef það hefur í för með sér óhóflega fyrirhöfn að tilkynna hinum skráðu um öryggisbrestinn en í því sambandi gæti einkum fjöldi þeirra skipt máli. Skal þá í staðinn birta almenna tilkynningu eða grípa til svipaðrar ráðstöfunar þar sem hinum skráðu er gert viðvart um brestinn með jafnáhrifaríkum hætti. 

Hvernig skal hafa samband við einstakling og hvaða upplýsingar á að veita?

Ábyrgðaraðili á a.m.k. að veita þessar upplýsingar:

• Lýsingu á eðli öryggisbrestsins
• Nafn og samskiptaupplýsingar persónuverndarfulltrúa eða annars tengiliðar
• Lýsingu á líklegum afleiðingum öryggisbrestsins, og
• Lýsingu á þeim ráðstöfunum sem ábyrgðaraðili hefur gert eða fyrirhugar að gera vegna öryggisbrestsins, þar á meðal, þar sem við á, ráðstöfunum til að milda hugsanleg skaðleg áhrif.

 Hann ætti einnig að veita nákvæmar ráðleggingar um hvernig einstaklingur getur varið sig fyrir hugsanlegum skaðlegum áhrifum öryggisbrestsins.

Ábyrgðaraðili skal senda sérstaka tilkynningu til að upplýsa hinn skráða um öryggisbrest, t.d. með tölvupósti, smáskilaboðum eða áberandi upplýsingum á heimasíðu. Mælt er með því að ábyrgðaraðili velji aðferð sem auki líkurnar á því að upplýsingarnar komist til hins skráða. Mögulegt er að velja að nota nokkrar aðferðir.

Hvernig er áhætta metin?

Tilkynning til Persónuverndar er eingöngu nauðsynleg þegar líklegt er talið að öryggisbresturinn leiði af sér áhættu fyrir réttindi og frelsi einstaklings.

Tilkynning til einstaklinga er eingöngu nauðsynleg þegar líklegt er að öryggisbrestur leiði af sér mikla áhættu fyrir réttindi og frelsi þeirra.

Þetta þýðir að um leið og ábyrgðaraðili verður var við öryggisbrest er mikilvægt að hann bæði leiti leiða til að takmarka tjónið og leggi mat á þá áhættu sem öryggisbresturinn kann að hafa í för með sér.

Þegar áhrif áhættu eru metin ætti matið að taka tillit til atriða á borð við tegund öryggisbrests; eðli, viðkvæmni og magn persónuupplýsinga; hversu auðvelt er að persónugreina hlutaðeigandi einstaklinga; hversu alvarleg áhrifin eru fyrir þá; fjölda þeirra; og eðlis þeirra upplýsinga sem um ræðir.

Hvað er skrá yfir öryggisbrest?

Ábyrgðaraðili skal skrá niður hvers kyns öryggisbresti sem verða við vinnslu persónuupplýsinga og tilgreina málsatvik í tengslum við þá, áhrif þeirra og þær aðgerðir til úrbóta sem gripið var til.

Þá er mælt með því að ábyrgðaraðili skrái einnig niður rök fyrir ákvarðanatöku þegar öryggisbrestur á sér stað og þeim ráðstöfunum sem gerðar eru. Slík skráning aðstoðar t.d. í samskiptum við Persónuvernd, berist tilkynning of seint.

Raunhæf dæmi um öryggisbresti

Hér má sjá leiðbeiningar með raunhæfum dæmum um öryggisbresti.

Tölfræði yfir tilkynnta öryggisbresti

Hér má sjá tölfræði yfir tilkynnta öryggisbresti til Persónuverndar árið 2022.