Öryggisúttektir

1. Hlutverkið
Samkvæmt lögum nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga, sbr. 2. tölul. 3. mgr. 37. gr., er eitt af hlutverkum Persónuverndar að hafa eftirlit með því að aðilar sem bera ábyrgð á vinnslu persónuupplýsinga fari að lögum og öðrum reglum sem um vinnsluna gilda og tryggja eiga að fyllsta öryggis sé gætt.

Til þess að Persónuvernd geti rækt það eftirlitshlutverk sem á stofnuninni hvílir lögum samkvæmt getur verið nauðsynlegt að gera úttekt á fyrirkomulagi öryggismála hjá ábyrgðaraðilum persónuupplýsinga. Ákvörðun um úttekt hjá einstaka ábyrgðaraðila þarf þó ekki að fela í sér að Persónuvernd telji að öryggiskerfi hans sé að einhverju leyti ábótavant. Gert er ráð fyrir að úttektir af þessu tagi fari fram í góðri samvinnu Persónuverndar og ábyrgðaraðila. Markmiðið er að sannreyna að öryggiskerfi ábyrgðaraðila sé í samræmi við þær öryggiskröfur sem Persónuvernd gerir til vinnslu viðkomandi persónuupplýsinga.

2. Verkferlið
Úttekt er framkvæmd í tveimur áföngum. Fyrri hlutinn felst í því að kalla eftir og fara yfir skrifleg gögn frá ábyrgðaraðila, sbr. 11. gr. fyrrgreindra laga. Seinni hlutinn er skoðun á þeim stað eða stöðum sem vinnsla persónuupplýsinga fer fram á vegum ábyrgðaraðila. Það er gert í þeim tilgangi að bera fyrirkomulag og ástand öryggiskerfis saman við framlögð gögn ábyrgðaraðila þess efnis. Persónuvernd lýkur svo úttektinni með ákvörðun um hvort öryggiskerfið standist þær kröfur sem gerðar eru í lögum og reglum um öryggi persónuupplýsinga og gefur ábyrgðaraðila fyrirmæli um úrbætur ef ástæða þykir til.

Til þessa hefur Persónuvernd þegar gert allnokkrar úttektir, þ. á m. hjá Lyfjastofnun ríkisins, hjá lyfjabúðum Lyfju og Lyfja & heilsu, hjá Heilbrigðisstofnun Austurlands og Rannsóknarstofnun LSH í meinafræði. Í þessum úttektum, sem og öðrum, hefur Persónuvernd fyrst og fremst beint sjónum sínum að öryggi viðkvæmra persónuupplýsinga. Vinnsla slíkra upplýsinga er oft á tíðum ekki nema hluti af starfsemi ábyrgðaraðila og getur því úttekt Persónuverndar eftir atvikum takmarkast við einstaka þætti starfseminnar. Í þeim tilgangi að öðlast raunhæfan samanburð milli ábyrgðaraðila og til að gæta jafnræðis framkvæmir Persónuvernd yfirleitt úttekt hjá 3-5 aðilum í sömu grein. Er þá jafnan reynt að velja umsvifamestu ábyrgðaraðilana í greininni þannig að ætla megi að úttektin spanni stóran hluta af þeirri vinnslu persónuupplýsinga sem fram fer á ákveðnu sviði.





Þetta vefsvæði byggir á Eplica