14 PERSÓNUVERND Í UPPLÝSINGASAMFÉLAGI Stofnunin Persónuvernd hefur eftirlit með því að einkalífsréttur sé virtur og annast eftirlit með öryggi í tengslum við vinnslu og meðferð persónuupplýsinga. Einnig fylgist stofnunin með almennri þróun persónuupplýsingaverndar á innlendum og erlendum vettvangi og leiðbeinir þeim sem ráðgera að vinna með eða þróa kerfi fyrir persónuupplýsingar, um persónuvernd. Er ritun þessarar greinar liður í þeirri starfsemi. Persónuupplýsingar eru unnar á einn eða annan hátt af öllum fyrirtækjum, stofnunum og í ákveðnum tilvikum einstaklingum í upplýsingatæknisamfélagi nútímans. Aðgengi, söfnun, samtenging, varðveisla og vinnsla persónuupplýsinga í gagnaverum eða skýjum um allan heim er nánast óendanleg. Upplýsingatækni býður upp á óþrjótandi tækifæri, t.d. til hagræðingar í rekstri, aukinnar framleiðni, skilvirkari og öruggari starfsemi og þess að stjórnendur hafi betri yfirsýn yfir reksturinn svo eitthvað sé nefnt. Eftir því sem umfang vinnslu verður meira og aðferðir fjölbreyttari getur hún hins vegar ógnað friðhelgi einkalífs. Fjöldamörg raftæki, snjallforrit og upplýsingakerfi safna umfangsmiklum upplýsingum um einstaklinga á degi hverjum auk þess sem lífshættir, neyslusnið og hegðun manna er greind með hjálp háþróaðra stærðfræðiformúla og forritunarkóða. Verðmæti þessara upplýsinga er mikið og öflug upplýsingakerfi eru hornsteinn í rekstri margra fyrirtækja og geta veitt þeim verulegt forskot í samkeppni. Persónuupplýsingaréttur er í sífelldri þróun samhliða tæknibyltingunni og þeim möguleikum sem felast í hvers kyns upplýsingavinnslu. Í eftirfarandi umfjöllun verður greint frá þeirri þróun sem á sér stað innan Evrópusambandsins um persónuvernd og friðhelgi einkalífsins þegar kemur að hönnun og þróun hugbúnaðar og upplýsingakerfa. Þá verður einnig greint frá hugtökunum innbyggð friðhelgi (e. Data Protection by Design) og sjálfgefin friðhelgi (e. Data Protection by Default)1 og þeim kröfum um vernd upplýsinga og friðhelgi einstaklinga sem ný almenn Evrópureglugerð um vernd persónuupplýsinga2 mun koma til með að gera til þeirra sem hanna og þróa hugbúnað og upplýsingakerfi. NÝ REGLUGERÐ ESB UM PERSÓNUVERND – BREYTINGAR Í VÆNDUM? Sú löggjöf sem aðildarríki Evrópusambandsins og EES-ríkjanna byggja á í dag er frá 1995 og því var kominn tími á nýjar reglur sem endurspegla þá tæknilegu framþróun sem átt hefur sér stað síðustu áratugi. Í janúar 2012 kynnti framkvæmdastjórn Evrópusambandsins drög að reglugerð um persónuvernd sem felur í sér umfangsmiklar umbætur á reglum um persónuvernd. Tilgangur hinnar nýju reglugerðar er að uppfæra regluverkið í samræmi við tækniframfarir og aukna hnattvæðingu, styrkja persónuvernd á netinu og stuðla að vexti hins stafræna efnahagskerfis innan Evrópusambandsins. Nýju reglugerðinni er einnig ætlað að samræma reglur aðildarríkja Evrópska efnahagssvæðisins, draga úr misræmi í framkvæmd, einfalda regluverkið og færa sjálfsákvörðunarrétt um vinnslu persónuupplýsinga nær einstaklingum. Í dag hvílir ábyrgð á öryggi persónuupplýsinga á þeim sem, eftir atvikum, kaupir eða notar upplýsingakerfi í starfsemi sinni og mun svo verða áfram. Ábyrgðaraðili, þ.e. sá sem tekur ákvörðun um vinnslu persónuupplýsinga, þann búnað sem notaður er eða aðra ráðstöfun upplýsinga, skal gera viðeigandi tæknilegar og skipulagslegar öryggisráðstafanir til að vernda persónuupplýsingar, t.d. gegn óleyfilegum aðgangi. Það er lagt í hendur hans að meta hvaða ráðstafanir eru best til þess fallnar að tryggja öryggi miðað við áhættu af vinnslunni og eðli upplýsinga sem skal verja. Reglugerðardrögin hafa tekið ýmsum breytingum frá því þau voru fyrst lögð fram og er reglugerðin nú á lokastigum samningaferilsins. Þannig standa nú yfir samningaviðræður milli Evrópuþingsins, –ráðsins og framkvæmdastjórnar ESB um endanlegan texta hennar og er niður- stöðu að vænta í desember 2015. Því næst hefst innleiðingarferli og má því búast við að reglugerðin taki gildi á næstu árum hér á Íslandi, en gert hefur verið ráð fyrir þriggja ára aðlögunartíma fyrir aðildarríki, og fyrirtæki og stofnanir innan þeirra, til að aðlaga löggjöf, starfsemi og framkvæmd sína að kröfum reglugerðarinnar. Með væntanlegri lagasetningu, sem mun að öllum líkindum verða tekin upp óbreytt í íslenskum rétti, má búast við töluverðum breytingum á því umhverfi sem fyrirtæki í hugbúnaðarþróun og önnur fyrirtæki starfa við í dag. INNBYGGÐ OG SJÁLFGEFIN FRIÐHELGI Í UPPLÝSINGAKERFUM Í formálsorðum nýju reglugerðarinnar eru hönnuðir upplýsingakerfa hvattir til þess að hanna hugbúnað sinn og þjónustu frá upphafi með vernd persónuupplýsinga í huga, t.d. með innbyggðum eða sjálfgefnum friðhelgisstillingum. Þetta er gert í þeim tilgangi að ábyrðaraðilar geti í kjölfarið mætt þeim kröfum sem lög og reglur gera til þeirra. Nýju ákvæðin um innbyggða friðhelgi og sjálfgefna friðhelgi munu, af fyrrnefndum ástæðum, koma til með að hafa mikil áhrif á upplýs inga- tækni, hönnun og endurhönnun hugbúnaðar í framtíðinni. Innbyggð friðhelgi gerir ráð fyrir að vernd persónuupplýsinga sé innbyggð í vörur og þjónustu, t.d. hugbúnað og upplýsingakerfi, strax frá upphafi, með því að koma í veg fyrir öryggisbrot innan fyrirtækja áður en þau eiga sér stað, s.s. með aðgerðaskráningu. Sjálfgefin friðhelgi miðast við að persónuupplýsingar verði ekki sjálfkrafa gerðar aðgengi­ legar almenningi, nema á grundvelli mannlegrar íhlutunar. Sem dæmi INNBYGGÐ OG SJÁLFGEFIN FRIÐHELGI Í UPPLÝSINGA KERFUM – ER ÞITT FYRIRTÆKI TILBÚIÐ? Alma Tryggvadóttir, skrifstofustjóri upplýsingatæknisviðs hjá Persónuvernd Vigdís Eva Líndal, lögfræðingur hjá Persónuvernd. Höfundar eru vottaðir stjórnendur úttekta á upplýsingaöryggiskerfum skv. ÍST/ISO 27001:2013

Page 1
Page 2
Page 3
Page 4
Page 5
Page 6
Page 7
Page 8
Page 9
Page 10
Page 11
Page 12
Page 13
Page 14
Page 15
Page 16
Page 17
Page 18
Page 19
Page 20
Page 21
Page 22
Page 23
Page 24
Page 25
Page 26
Page 27
Page 28
Page 29
Page 30
Page 31
Page 32
Page 33
Page 34
Page 35
Page 36
Page 37
Page 38
Page 39
Page 40
Page 41
Page 42
Page 43
Page 44