Vinnslusamningar, samband ábyrgðaraðila og vinnsluaðila

Hver ber ábyrgð á vinnslu persónuupplýsinga?

 

Persónuverndarlögin taka til þeirra sem vinna með persónuupplýsingar. Í lögunum er gerður greinarmunur á því hvort sá sem vinnur með upplýsingarnar ákveður sjálfur tilgang og aðferðir við vinnsluna, eða hvort hann hefur tekið að sér að vinna verkið fyrir einhvern annan. Í fyrra tilvikinu telst sá sem vinnur með upplýsingarnar vera ábyrgðaraðili í skilningi laganna. Sá sem vinnur með persónuupplýsingar fyrir einhvern annan, á grundvelli samnings þar að lútandi, er hins vegar kallaður vinnsluaðili.

Þegar enginn vinnsluaðili hefur verið fenginn til verksins ber ábyrgðaraðili einn ábyrgðina á þeirri vinnslu persónuupplýsinga sem fer fram á hans vegum.

Ábyrgðaraðilinn getur einnig ákveðið að semja við vinnsluaðila um að sjá um tiltekna vinnslu persónuupplýsinga í þágu ábyrgðaraðilans. Mikilvægt er þó að hafa í huga að almennt getur ábyrgðaraðilinn ekki dregið úr ábyrgð sinni á vinnslunni með því að semja við vinnsluaðila. 

Vinnsluaðili, sem tekur að sér vinnslu persónuupplýsinga fyrir annan, getur einnig borið sjálfstæða ábyrgð að nokkru leyti, til dæmis ef hann fer ekki eftir vinnslusamningnum við ábyrgðaraðilann, og ef hann tryggir ekki nægilega vel öryggi persónuupplýsinganna sem honum var falið að vinna með. 

Sem dæmi um ábyrgðaraðila og vinnsluaðila má nefna banka sem semur við auglýsingastofu um að senda auglýsingapóst til viðskiptavina bankans. Bankinn er þá ábyrgðaraðili, en auglýsingastofan er vinnsluaðili, og um þessa vinnslu persónuupplýsinga þarf að gera sérstakan vinnslusamning sem uppfyllir skilyrði persónuverndarlaga. 

Hins vegar skal á það bent að þótt auglýsingastofan sé vinnsluaðili í þessu tiltekna samningssambandi telst hún vera sjálfstæður ábyrgðaraðili hvað varðar þá vinnslu persónuupplýsinga sem ekki fer fram á grundvelli vinnslusamnings. Þegar auglýsingastofan vinnur með persónuupplýsingar um sína eigin starfsmenn eða viðskiptavini, í þágu eigin starfsemi stofunnar, telst hún því vera ábyrgðaraðili. 

 

 

Hvað er ábyrgðaraðili?

Ábyrgðaraðili er sá sem ákveður tilgang og aðferðir við vinnslu persónuupplýsinga. Ábyrgðaraðilinn getur verið einstaklingur, fyrirtæki, stjórnvald eða annar aðili.

 

Hverjar eru helstu skyldur ábyrgðaraðila?

Ábyrgðaraðili ber ábyrgð á því að sú vinnsla persónuupplýsinga, sem fer fram á hans vegum, samrýmist persónuverndarlögum, og hann þarf að geta sýnt fram á það. Þetta felur til dæmis í sér að vinnslan þarf að styðjast við heimild í lögunum, hún þarf að uppfylla meginreglur laganna (svo sem um sanngjarna og lögmæta vinnslu, gagnsæi, meðalhóf og fleira), veita þarf viðkomandi einstaklingum tilteknar upplýsingar og fræðslu um vinnsluna og tryggja þarf öryggi upplýsinganna. 

Geta ábyrgðaraðilar verið fleiri en einn?

Vinnsla persónuupplýsinga getur í sumum tilvikum farið fram á vegum tveggja eða fleiri ábyrgðaraðila. Þegar svo háttar til er ekki hægt að líta svo á að einn þeirra vinni fyrir hina, heldur bera þeir báðir/allir ábyrgð á afmörkuðum þáttum vinnslunnar og teljast vera sameiginlegir ábyrgðaraðilar. Í þessum tilvikum er nauðsynlegt að útbúa sérstakan samning um skiptingu ábyrgðarinnar áður en vinnslan hefst. Í slíkum samningi þarf að skilgreina hver ber ábyrgð á hverju, ekki síst þegar kemur að því að uppfylla skilyrði persónuverndarlaganna um réttindi einstaklinganna (hinna skráðu), svo sem um fræðslu gagnvart þeim um vinnsluna og fleira. 

Hvað er vinnsluaðili?

Vinnsluaðili er sá sem vinnur persónuupplýsingar fyrir hönd ábyrgðaraðila á grundvelli samnings þar að lútandi. Samningurinn nefnist vinnslusamningur og þarf að uppfylla tiltekin skilyrði sem sett eru í persónuverndarlögum. 

Vinnsluaðili getur verið einstaklingur, fyrirtæki, stjórnvald eða annar aðili. 

Hverjar eru helstu skyldur vinnsluaðila?

Vinnsluaðilar vinna með persónuupplýsingar fyrir hönd ábyrgðaraðila á grundvelli samnings þar að lútandi. Sem dæmi um slíkt samningssamband má nefna veitingastað (ábyrgðaraðila), sem ræður bókhaldsfyrirtæki (vinnsluaðila) til að sjá um launabókhald fyrir staðinn, en í bókhaldinu eru upplýsingar um starfsmenn staðarins. Þá má nefna sem dæmi opinbera stofnun (ábyrgðaraðila) sem fær ráðningarfyrirtæki (vinnsluaðila) til að aðstoða við ráðningu nýrra starfsmanna. 

Vinnsluaðili má aðeins vinna með persónuupplýsingar að því marki sem samningur hans við ábyrgðaraðilann leyfir, og honum ber að fylgja þeim fyrirmælum um vinnsluna sem ábyrgðaraðili setur fram. Þá ber vinnsluaðilum að aðstoða ábyrgðaraðila við að tryggja að vinnsla persónuupplýsinganna samrýmist persónuverndarlögum. Ef vinnsluaðili verður þess var að fyrirhuguð vinnsla samrýmist ekki persónuverndarlögum ber honum að tilkynna ábyrgðaraðilanum um það strax. 

Vinnsluaðilar bera jafnframt sjálfstæða ábyrgð á að starfsemi þeirra samrýmist persónuverndarlögum og þeir þurfa að geta sýnt fram á það, eins og aðrir sem vinna með persónuupplýsingar. Í þessu felst til dæmis að þeir þurfa að útbúa skrá yfir vinnslustarfsemi, þ.e. svokallaða vinnsluskrá, yfir þá vinnslu sem fer fram fyrir hönd ábyrgðaraðilans.  

Persónuvernd hefur útbúið ítarlegar leiðbeiningar fyrir vinnsluaðila sem nálgast má hér. Í leiðbeiningunum er jafnframt að finna fyrirmynd að vinnslusamningi.

Má vinnsluaðilinn fá einhvern annan til að vinna með persónuupplýsingarnar fyrir sig?

Í einhverjum tilvikum kann vinnsluaðilinn að vilja útvista hluta af þeim verkefnum sem hann hefur tekið að sér í vinnslusamningi til þriðja aðila, t.d. annars fyrirtækis, sem nefnist þá undirvinnsluaðili. Það er þó óheimilt nema vinnsluaðilinn hafi áður fengið skriflegt leyfi fyrir því frá ábyrgðaraðilanum. 

Dæmi um þetta er þegar framleiðslufyrirtæki (ábyrgðaraðili) semur við hugbúnaðarfyrirtæki (vinnsluaðila) um kaup á þjónustu sem felur m.a. í sér vistun gagna, þ. á m. persónuupplýsingar. Hugbúnaðarfyrirtækið semur svo við hýsingaraðila (undirvinnsluaðila) sem býður upp á hýsingu gagna í tölvuskýi. Í þessu dæmi ætti framleiðslufyrirtækið ekki að þurfa að sæta því að gögn þess verði færð í tölvuský á vegum hýsingaraðila sem framleiðslufyrirtækið hefur enga vitneskju um og hefur ekki samþykkt. Hugbúnaðarfyrirtækið þarf því að afla leyfis frá framleiðslufyrirtækinu áður en gögnin eru færð yfir til hýsingaraðilans.

Hvaða skilyrði þarf vinnsluaðili uppfylla?

Áður en ábyrgðaraðili gerir samning við vinnsluaðila um vinnslu persónuupplýsinga þarf hann að ganga úr skugga um að vinnsluaðilinn geti veitt ábyrgðaraðilanum nægilegar tryggingar fyrir því að hann geri viðeigandi ráðstafanir til þess að vinnsla persónuupplýsinganna uppfylli kröfur persónuverndarlaganna, og að réttindi einstaklinganna (hinna skráðu) samkvæmt lögunum séu tryggð. 

Persónuvernd vinnur nú að gátlista um hvað teljast nægilegar tryggingar og hvernig best sé að ganga úr skugga um að vinnsluaðilinn fullnægi þeim kröfum sem ábyrgðaraðili vill gera til hans.

Hvað er vinnslusamningur og hvaða reglur gilda um slíka samninga?

Vinnslusamningur er sérstakur samningur um vinnslu persónuupplýsinga. Aðilar að samningnum eru annars vegar ábyrgðaraðili, þ.e. sá sem ákveður tilgang og aðferðir við vinnslu persónuupplýsinga, og hins vegar vinnsluaðili, sem tekur að sér að vinna upplýsingarnar fyrir hönd ábyrgðaraðila. 

Vinnslusamningur þarf að vera skriflegur og hann þarf að uppfylla tiltekin skilyrði samkvæmt persónuverndarlögum. Í slíkum samningi þarf meðal annars að tilgreina viðfangsefni og tímalengd vinnslunnar, eðli hennar og tilgang, tegund persónuupplýsinga og flokka skráðra einstaklinga, sem og skyldur og réttindi ábyrgðaraðilans. Þá þarf að kveða á um það í samningnum að vinnsluaðilinn vinni einungis með persónuupplýsingar í samræmi við skjalfest fyrirmæli ábyrgðaraðila, nema um annað sé mælt fyrir í lögum.

Í vinnslusamningi ber einnig að fjalla um trúnaðarskyldu þeirra sem vinna með persónuupplýsingarnar, heimildir til að ráða undirvinnsluaðila, meðferð persónuupplýsinganna við lok samningssambandsins og ýmislegt fleira. Ítarlegri umfjöllun um vinnslusamninga og efni þeirra má finna í leiðbeiningum Persónuverndar fyrir vinnsluaðila, sem unnt er að skoða hér. 

Er til fyrirmynd að vinnslusamningi?

Sniðmát af vinnslusamningi og leiðbeiningar fyrir vinnsluaðila má nálgast á vefsíðu Persónuverndar.