Leiðbeiningar Persónuverndar um vistun persónuupplýsinga í tölvuskýi.

Leiðbeiningar Persónuverndar um vistun persónuupplýsinga í tölvuskýi.

 Þegar skoðað er hvort mögulegt er að vista gögn í tölvuskýi verður að huga að ýmsum atriðum. Persónuvernd leggur mikla áherslu á að persónuupplýsingar séu ekki vistaðar í tölvuskýjum nema að undangengnu ítarlegu áhættumati. Mikilvægt er að meta hvort flutningur úr landi, ef tölvuský er vistað erlendis, er heimill sem og hvaða tegundir upplýsinga er ásættanlegt að flytja í skýið og þá hvers konar ský. Markmið áhættumats er m.a. að leiða í ljós hvort forsendur séu til staðar fyrir flutning gagna í tölvuský, og þá hvernig tölvuský, en það skal m.a. gert með greiningu á áhættuþáttum og með hliðsjón af trúnaðarstigi og lög um og reglum sem við eiga. Lykilatriði er því að ábyrgðaraðili viti hvar, hvernig og hverjir vinna persónuupplýsingar sem þeir bera ábyrgð á. Niðurstöður áhættumats skulu bornar upp á móti metnum ávinningi með innleiðingu skýjalausnar, en ekki er sjálfgefið að útvistun viðkvæmra persónuupplýsinga sé heimil. Rétt er að taka fram að ýmis fyrirtæki og einstaklingar í verktöku aðstoða aðila við framkvæmd áhættumats.

Hér að neðan má finna leiðbeiningar um helstu atriði sem þarf að hafa í huga við vistun persónuupplýsinga í tölvuskýjum.

 

I. Vinnsla persónuupplýsinga

Í fyrsta lagi verður að athuga hvort persónuupplýsingar verði hýstar í tölvuskýinu. Persónuupplýsingar eru skv. 1. tölul. 2. gr. laga nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga (pvl.), skilgreindar sem sérhverjar persónugreindar eða persónugreinanlegar upplýsingar um hinn skráða, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi. Þegar um slíkt er að ræða, en af erindi yðar verður ekki annað ráðið en að svo sé, verður sá sem ber ábyrgð á umræddum persónuupplýsingum, og er skilgreindur sem ábyrgðaraðili skv. 4. tölul. 2. gr. pvl., að meta hvort sú meðhöndlun persónuupplýsinga, nánar tiltekið að hýsa eða vinna með persónuupplýsingar í tölvuskýi, sé heimil skv. lögunum. Á ábyrgðaraðila persónuupplýsinga hvíla margs konar skyldur skv. framangreindri löggjöf, m.a. um gera viðeigandi tæknilegar og skipulagslegar öryggisráðstafanir til að vernda persónuupplýsingar gegn ólöglegri eyðileggingu, gegn því að þær glatist eða breytist fyrir slysni og gegn óleyfilegum aðgangi, sbr. ákvæði 11. gr. laganna.

Að auki verður öll vinnsla persónuupplýsinga að samrýmast einhverri af kröfum 1. mgr. 8. gr. laga nr. 77/2000. Þá verður vinnsla viðkvæmra persónuupplýsinga, s.s. upplýsinga um heilsuhagi eða upplýsinga um hvort maður hafi verið grunaður, kærður, ákærður eða dæmdur fyrir refsiverðan verknað, sbr. 8. tölul. 2. gr. sömu laga, að samrýmast einhverju af viðbótarskilyrðum 9. gr. laganna. Meðal heimilda má nefna samþykki hins skráða (1. tölul. 1. mgr. 8. gr. og 1. tölul. 1. mgr. 9. gr.) og ef vinnslan er framkvæmd af samtökum sem hafa stéttarfélagsleg markmið eða af öðrum samtökum sem ekki starfa í hagnaðarskyni, svo sem menningar-, líknar-, félagsmála-, eða hugsjónasamtökum og taki aðeins til félagsmanna þeirra eða einstaklinga sem samkvæmt markmiðum samtaka eru, eða hafa verið í reglubundnum tengslum við þau (5. tölul. 1. mgr. 9. gr.). Eins og að framan greinir er þó ekki sjálfgefið að heimilt sé að vista viðkvæmar persónuupplýsingar í tölvuskýi.

 

II. Notkun vinnsluaðila og undirvinnsluaðila - gerð áhættumats og öryggisráðstafana

 

Samkvæmt lögum nr. 77/2000 getur ábyrgðaraðili persónuupplýsinga heimilað að annar aðili, svokallaður vinnsluaðili, vinni með persónuupplýsingar á hans vegum, sbr. 5. tölul. 2. gr. laganna, en aðili sem býður tölvuskýjaþjónustu eða aðrar hugbúnaðarlausnir getur til að mynda verið vinnsluaðili. Þá getur vinnsluaðili ráðið s.k. undirvinnsluaðila til að sinna afmörkuðum hluta vinnslunnar fyrir sig. Þetta er algengt fyrirkomulag hérlendis þar sem upplýsingatæknifyrirtæki bjóða upp á ýmsar lausnir tengdar málaskrárkerfum en upplýsingarnar eru vistaðar á tölvuskýi erlendra aðila. Telst þá erlendi aðilinn undirvinnsluaðili og er vinnsluaðila almennt talið óheimilt að semja við slíkan aðila nema að fengnu skýru samþykki ábyrgðaraðilans eða að mælt sé fyrir um slíkt í s.k. vinnslusamningi.

Nánari fyrirmæli eru í lögum nr. 77/2000 um samning ábyrgðaraðila og vinnsluaðila, en í stuttu máli fjalla þau um að vinnsluaðili vinni einungis með persónuupplýsingar í samræmi við skýr fyrirmæli ábyrgðaraðila í sérstökum vinnslusamningi milli aðilanna, sbr. 13. gr. laganna. Þá segir sérstaklega í því ákvæði að ábyrgðaraðila sé einungis heimilt að semja við vinnsluaðila hafi hann áður sannreynt að umræddur vinnsluaðili geti framkvæmt viðeigandi öryggisráðstafanir og viðhaft innra eftirlit. Til þess að meta framangreint getur verið nauðsynlegt fyrir ábyrgðaraðila að framkvæma áhættumat, sem tekur m.a. mið af því hvort um almennar eða viðkvæmar persónuupplýsingar sé að ræða, áður en gengið er frá vinnslusamningi.

Jafnframt hefur á vegum netöryggisráðs verið útbúið umræðuskjal umsamningsviðauka varðandi upplýsingaöryggi sem nýta má við samningsgerð. Þá hafa einnig verið mótaðar leiðbeiningar um gerð áhættumats og öryggisráðstafanir ásamt viðeigandi eyðublöðum.

 

III. Flutningur persónuupplýsinga úr landi

Margar, ef ekki flestar, tölvuskýjaþjónustur eru hýstar erlendis og oft í Bandaríkjunum. Því er nauðsynlegt að huga að því að til staðar sé fullnægjandi heimild til flutnings persónuupplýsinga úr landi. Í 29. gr. pvl. segir að slíkur flutningur sé heimill til annars ríkis ef lög þess veita persónuupplýsingum fullnægjandi vernd. Innan þess falla öll lönd innan EES-svæðisins og þau lönd sem Persónuvernd hefur auglýst sem örugg þriðju lönd, sjá nánar hér: https://www.personuvernd.is/log-og-reglur/reglur-og-reglugerdir/nr/2126 

Þá hafa Bandaríkin gert sérstakan samning við Evrópusambandið, en Ísland á aðild að honum í gegnum EES-samninginn, sem mælir fyrir um að heimilt sé að flytja persónuupplýsingar til fyrirtækja í Bandaríkjunum sem hafa farið í gegnum tiltekið ferli og fengið skráningu á s.k. Privacy Shield lista bandaríska viðskiptaráðuneytisins. Listann má nálgast hér: https://www.privacyshield.gov/list

Að öðru leyti er slíkur flutningur persónuupplýsinga úr landi óheimill, sbr. 30. gr. laganna, ef viðkomandi ríki veitir persónuupplýsingum ekki fullnægjandi vernd, nema uppfyllt sé eitthvert þeirra undanþáguákvæða sem nefnd eru í 1. mgr. ákvæðisins. Helst ber þar að nefna að samþykki hafi fengist frá hinum skráða fyrir flutningnum (1. tölul.). Persónuvernd leggur þó áherslu á að undanþágur 1. mgr. 30. gr. persónuverndarlaga geta aðeins rennt stoðum undir flutning persónuupplýsinga í mjög afmörkuðum tilvikum, og að þær persónuupplýsingar sem fluttar eru með þessum hætti njóta einungis verndar samkvæmt löggjöf þess ríkis sem þær eru sendar til.

 

IV. Frekari leiðbeiningar

Fjármála- og efnahagsráðuneytið, í samstarfi við Persónuvernd og Rekstrarfélag Stjórnarráðsins, hefur gefið út leiðbeiningar til ríkisstofnanaum notkun á tölvuskýjalausnum sem hafa má til hliðsjónar við mat á því hvort taka skuli í notkun slíka þjónustu, en leiðbeiningarnar geta að sjálfsögðu nýst öðrum en ríkisstofnunum. Leiðbeiningarnar innihalda meðal annars gátlista vegna fyrirhugaðrar innleiðingar á skýjaþjónustu. Þá er þar að finna umfjöllun um áhættumat í tengslum við vistun gagna í skýjalausnum, en markmið þess er að leiða í ljós hvort forsendur séu til staðar fyrir flutningi gagna í tölvuský, og þá hvers konar tölvuský.

 

Þá er vert að benda á að ráðgefandi vinnuhópur fulltrúa persónuverndarstofnana í Evrópu, sem starfar samkvæmt 29. gr. gildandi tilskipunar 95/46/EB um persónuvernd, hefur gefið út álit um tölvuský . Í álitinu er farið yfir þau álitamál sem komið hafa upp með aukinni notkun tölvuskýja og farið yfir þau atriði sem valdið hafa vandkvæðum út frá persónuverndarsjónarmiðum, m.a. varðandi öryggi upplýsinga. Farið er yfir álitamál er tengjast því að deila búnaði með öðrum aðilum, skorti á gegnsæi t.d. hvað varðar það þegar upplýsingar eru fluttar út fyrir EES og möguleika ábyrgðaraðila á að fullnægja upplýsingaskyldu sinni gagnvart hinum skráða. Ein helsta niðurstaða álitsins er sú að ábyrgðaraðilar verða að láta fara fram áhættumat áður en þeir taka ákvörðun um að nýta sér umrædda þjónustu. Í álitinu er lögð höfuðáhersla á að það sé ábyrgðaraðili vinnslunnar sem ber ábyrgð á því að velja tölvuský sem uppfyllir skilyrði tilskipunar 95/46/EB.





Þetta vefsvæði byggir á Eplica