Hlutverk og skyldur vinnsluaðila á grundvelli nýrra persónuverndarreglna
Margir lesendur Tölvumála vita vafalaust af setningu nýrra persónuverndarreglna í Evrópu. Nánar tiltekið er um að ræða reglugerð ESB nr. 2016/679 um vernd einstaklinga í tengslum við vinnslu persónuupplýsinga og um frjálsa miðlun slíkra upplýsinga og niðurfellingu tilskipunar 95/46/EB (almenna persónuverndarreglugerðin). Reglugerðin öðlaðist gildi 24. maí 2016 og kemur til framkvæmda innan ESB frá og með 25. maí 2018. Á Íslandi verður reglugerðin innleidd á grundvelli EES-samningsins og í kjölfarið mun ný persónuverndarlöggjöf taka gildi, en áætlað er að það verði á árinu 2018 [1].
Reglugerðin hefur í för með sér ýmsar breytingar sem meðal annars snerta hina svonefndu vinnsluaðila og verður hér gerð grein fyrir helstu breytingunum. Samantektin er byggð á greiningu á reglugerðinni sjálfri, núgildandi lögum og þegar það á við á álitum hins svokallaða 29. gr. starfshóps sem hefur að undanförnu látið í té nokkur álit á einstökum efnisatriðum sem reglugerðin tekur til [2].
Hverjir eru vinnsluaðilar?
Vinnsluaðili er skilgreindur sem einstaklingur eða lögaðili, opinbert yfirvald, sérstofnun eða annar aðili sem vinnur persónuupplýsingar á vegum ábyrgðaraðila, en ábyrgðaraðili er sá sem sem ákvarðar tilgang og aðferðir við vinnslu persónuupplýsinga. Til að mynda teljast upplýsingatæknifyrirtæki hvers konar sem varðveita persónuupplýsingar á vegum annarra eða hafa aðgang að þeim með öðrum hætti til vinnsluaðila [3]. Líkt og núgildandi lög gera ráð fyrir skal gerður vinnslusamningur milli ábyrgðar- og vinnsluaðila, en almenna persónuverndarreglugerðin gerir nákvæmari og ítarlegri lágmarkskröfur til efnis slíkra vinnslusamninga sem fara ætti vel yfir við gerð þeirra. Rétt er að benda á að ekki er mælt fyrir um að ákvæði eldri reglna skuli áfram gilda um vinnslusamninga sem nú þegar eru í gildi og þurfa þeir því einnig að standast kröfur nýju reglugerðarinnar. Yfirfara ætti því alla slíka samninga og eftir atvikum ganga frá uppfærðum vinnslusamningum.
Viðbótarvinnsluaðilar
Vinnsluaðilar geta ráðið aðra aðila til að inna tiltekna vinnslustarfsemi af hendi fyrir hönd ábyrgðaraðila, svonefnda viðbótarvinnsluaðila. Viðbótarvinnsluaðilar þessir geta verið af ýmsu tagi, t.d. aðili sem starfrækir gagnaver sem vinnsluaðili nýtir til hýsingar persónuupplýsinga sem hann vinnur á vegum ábyrgðaraðila. Vinnsluaðilum er aðeins heimilt að nýta viðbótarvinnsluaðila að fengnu skriflegu samþykki frá ábyrgðaraðila. Þá er mælt fyrir um skyldu vinnsluaðila til að gera samninga við viðbótarvinnsluaðila og ganga úr skugga um að tæknilegar og skipulagslegar ráðstafanir standist kröfur reglugerðarinnar, en vinnsluaðilar bera fulla ábyrgð gagnvart ábyrgðaraðilum á því að viðbótarvinnsluaðilar efni skuldbindingar sínar.
Innbyggð og sjálfgefin persónuvernd
Með innbyggðri persónuvernd er átt við að vernd persónuupplýsinga sé innbyggð í vörur og þjónustu, t.a.m. að hugbúnaður sem notaður er við vinnslu sé hannaður á þann hátt að aðeins þeim upplýsingum sem nauðsynlegar eru til að uppfylla tilgang vinnslunnar sé safnað. Með sjálfgefinni persónuvernd er átt við að það sé sjálfgefið að persónuupplýsingar verði ekki gerðar aðgengilegar almenningi án íhlutunar einstaklingsins sem persónuupplýsingarnar varða. Ef notaðir eru vinnsluaðilar við vinnslu persónuupplýsinga þarf ábyrgðaraðili að ganga úr skugga um að vinnslan uppfylli þessar kröfur. Vinnsluaðilar sem eru upplýsingatæknifyrirtæki og koma að hönnun og þróun hugbúnaðar þurfa að hafa þessar reglur sérstaklega í huga [4].
Skrá yfir vinnslustarfsemi
Vinnsluaðilar skulu halda skrá yfir alla flokka vinnslustarfsemi sem framkvæmd er fyrir hönd ábyrgðaraðila og gera hana aðgengilega eftirlitsyfirvaldi að beiðni þess, en skylda þessi er nýnæmi með tilkomu reglugerðarinnar. Í reglugerðinni eru talin upp þau atriði sem skráin þarf að innihalda. Þetta eru atriði á borð við samskiptaupplýsingar um vinnsluaðilann, sérhvern ábyrgðaraðila sem hann starfar fyrir og almenna lýsingu á öryggisráðstöfunum sem viðhafðar eru við vinnsluna [5]. Frá þessari skyldu gildir sú undantekning að fyrirtæki eða stofnanir sem hafa færri en 250 starfsmenn þurfa ekki að halda skrá yfir vinnslustarfsemi nema vinnsla sé líkleg til að hafa í för með sér áhættu fyrir réttindi og frelsi skráðra einstaklinga, vinnslan sé ekki tilfallandi eða taki til viðkvæmra persónuupplýsinga. Það má gera sér í hugarlund að undantekningin muni eiga óvíða við þar sem skilyrðum þess að henni megi beita eru settar afar þröngar skorður.
Öryggi persónuupplýsinga
Vinnsluaðilar skulu gera viðeigandi tæknilegar og skipulagslegar ráðstafanir sem tryggja viðunandi öryggi persónuupplýsinga sem þeir hafa með höndum. Með tilkomu reglugerðarinnar tekur skylda þessi nú beinlínis til vinnsluaðila en ekki einungis í gegnum ábyrgðaraðila líkt og áður. Í reglugerðinni eru sérstaklega nefndar nokkrar ráðstafanir sem notast ætti við eftir því sem við á, t.a.m. notkun gerviauðkenna (e. pseudonymisation) og dulkóðun persónuupplýsinga. Vinnsluaðilar ættu því að ganga úr skugga um hvort núverandi tæknilegar og skipulagslegar ráðstafanir veiti persónuupplýsingum viðeigandi vernd eða hvort gera þurfi breytingar áður en ný löggjöf tekur gildi.
Tilkynning um öryggisbrot
Með öryggisbroti er átt við brot á öryggi sem leiðir til óviljandi eða ólögmætrar eyðingar, glötunar, breytinga eða birtingar persónuupplýsinga eða aðgangur að þeim veittur í leyfisleysi. Ef vinnsluaðili verður var við öryggisbrot við meðferð persónuupplýsinga ber honum að tilkynna það til ábyrgðaraðila án ótilhlýðilegrar tafar. Það er svo á hendi ábyrgðaraðila að tilkynna öryggisbrotið til eftirlitsyfirvaldsins innan 72 klukkustunda frá því hann varð atburðar var. Tímafrestirnir eru því naumir og ekki fullljóst hvernig túlka ber samspil tímafresta sem vinnslu- og ábyrgðaraðilum eru gefnir í reglugerðinni. Líklega byrjar 72 klukkustunda festur ábyrgðaraðila að líða frá tíma tilkynningar vinnsluaðila, sem berast skal án ótilhlýðilegrar tafar, ef það er jafnframt sá tímapunktur sem ábyrgðaraðili fyrst veit af öryggisbroti sem á sér stað hjá vinnsluaðila. Vænta má nánari leiðbeininga um tilkynningar vegna öryggisbrota frá 29. gr. starfshópnum á þessu ári [6].
Persónuverndarfulltrúar
Tilnefning persónuverndarfulltrúa hefur ekki tíðkast áður hér á landi, en þekkist í sumum nágrannalöndum okkar, t.d. í Noregi og Þýskalandi. Með tilkomu nýju persónuverndarreglnanna skulu allir opinberir aðilar og þeir einkaaðilar sem hafa sem meginstarfsemi vinnsluaðgerðir sem krefjast umgangsmikils, reglubundins og kerfisbundins eftirlits með einstaklingum eða umfangsmikla vinnslu viðkvæmra persónuupplýsinga, tilnefna persónuverndarfulltrúa. Vinnsluaðilar verða nú að meta hvort þeir uppfylli ofangreind skilyrði og að á þeim hvíli þar með skylda til að tilnefna persónuverndarfulltrúa. Þá skal bent á að aðildarríkjum er einnig heimilt að ákveða með lögum að tilnefna skuli persónuverndarfulltrúa í öðrum tilvikum en þeim sem að framan greinir, og því er mælt með að fylgst sé náið með lagasetningu hvað þetta varðar. Persónuverndarfulltrúinn getur verið starfsmaður eða utanaðkomandi aðili og skal hafa sérþekkingu á persónuverndarlöggjöf að teknu tilliti til vinnslunnar sem fram fer hjá aðilanum.
Persónuverndarfulltrúinn þarf því bæði að hafa þekkingu á gildandi lögum og framkvæmd sem og vinnslustarfsemi aðilans, en ekki er gerð krafa um tiltekna menntun. Helstu verkefni persónuverndarfulltrúans eru upplýsingagjöf og eftirlit með að farið sé eftir gildandi persónuverndarlögum, og er hann einnig tengiliður fyrir eftirlitsyfirvöld og einstaklinga. Persónuverndarfulltrúinn skal vera sjálfstæður í störfum sínum og heyrir beint undir æðstu stjórn aðilans. Hann getur gegnt öðrum störfum svo lengi sem þau leiða ekki til hagsmunaárekstra og má þ.a.l. alla jafna ekki vera framkvæmdastjóri, mannauðsstjóri, markaðsstjóri eða gegna annars konar stöðu þar sem hann ákvarðar tilgang og aðferðir við vinnslu persónuupplýsinga. Þá má ekki refsa honum eða víkja úr starfi fyrir framkvæmd verkefna sinna sem persónuverndarfulltrúi. Viðkomandi ábyrgðar- eða vinnsluaðili ber áfram ábyrgð á að lögunum sé fylgt..
Miðlun persónuupplýsinga til þriðju landa
Reglur um miðlun persónuupplýsinga til þriðju landa, þ.e. landa sem ekki veita persónuupplýsingum sambærilega vernd og samkvæmt persónuverndarreglugerðinni, eiga beinlínis við um vinnsluaðila með tilkomu nýju reglnanna. Vinnsluaðilar þurfa því að athuga hvort slík miðlun eigi sér stað, t.a.m. með notkun gagnavera og skýjaþjónusta eða til fyrirtækja innan samsteypu, og hvort hún samrýmist heimildum nýju reglnanna.
Stjórnsýslusektir o.fl.
Vinnsluaðilar geta samkvæmt almennu persónuverndarreglugerðinni borið sjálfstæða ábyrgð og orðið ábyrgir til jafns við ábyrgðaraðila ef reglunum er ekki fylgt, en hingað til hefur ábyrgðin gagnvart eftirlitsyfirvöldum og einstaklingum legið eingöngu hjá ábyrgðaraðilum. Ber þar helst að nefna heimildir eftirlitsyfirvalda til að leggja á stjórnsýslusektir vegna brota á reglunum sem geta numið þeirri fjárhæð sem hærri er, 20 milljónum Evra eða 4% af árlegri heildarveltu á heimsvísu á næstliðnu fjárhagsári. Einnig getur vinnsluaðili borið bótaábyrgð vegna tjóns sem hlýst af vinnslu sem brýtur í bága við reglugerðina eða ef hann hefur farið gegn lögmætum fyrirmælum ábyrgðaraðila.
Höfundar: Lena Markusdóttir, Ingvi Snær Einarsson og Erla S. Árnadóttir, sérfræðingar LEX á sviði persónuverndar og upplýsingatækniréttar og veita alhliða ráðgjöf í tengslum við nýju persónuverndarreglurnar
Heimildir
[1] Sjá heimasíðu Persónuverndar, t.d. https://www.personuvernd.is/ny-personuverndarloggjof-2018/fyrir-logadila/ (sótt 3.5.2017).
[2] e. Article 29 Working Party. Starfshópnum var komið á fót með núgildandi tilskipun og er skipaður fulltrúum frá persónuverndarstofnunum aðildarríkjanna á EES-svæðinu auk fulltrúum framkvæmdastjórnar ESB og hins evrópska persónuverndarfulltrúa. Hópurinn gegnir ráðgefandi hlutverki og hefur gefið út leiðbeiningar um ýmis lykilákvæði núgildandi tilskipunar og nú einnig almennu persónuverndarreglugerðarinnar.
[3] Hér er rétt að benda á að vinnsluaðilar geta á sama tíma verið ábyrgðaraðilar gagnvart tilteknum persónuupplýsingum, t.d. um eigið starfsfólk.
[4] Um nánari umfjöllun vísast til greinarinnar „Innbyggð og sjálfgefin friðhelgi í upplýsingakerfum – er þitt fyrirtæki tilbúið?“ eftir Ölmu Tryggvadóttur og Vigdísi Evu Líndal sem birtist í 1. tbl. 40. árg. Tölvumála í nóvember 2015.
[5] Hér gefst ekki ráðrúm til að fara yfir öll atriðin, en vísað er til 2. mgr. 30. gr. almennu persónureglugerðarinnar þar sem upptalninguna er að finna.
[6] Sjá t.d. https://www.huntonprivacyblog.com/wp-content/uploads/sites/18/2017/01/ Pressrelease-Adoptionof2017GDPRActionPlan.pdf (sótt 3.5.2017).
Skil á efni
Leita í vefútgáfu Tölvumála
Um Tölvumál
Tölvumál - tímarit Skýrslutæknifélags Íslands er óháð tímarit um tölvutækni og hefur verið gefið út frá árinu 1976.
Vefútgáfa Tölvumála birtir vikulega nýja grein á vef Ský og árlega er gefið út veglegt prentað tímarit undir nafninu "Tölvumál" þar sem fjallað er um tölvutækni frá ýmsum sjónarhornum og er þema blaðsins jafnan valið snemma árs og útgáfa að hausti.
Ritnefnd Ský sér um að afla efni í Tölvumál og geta allir sem áhuga hafa sent inn efni.