menu
Tölvumál
Hér hefur orðið villa.
1. árgangur 19762. árgangur 19773. árgangur 19784. árgangur 19795. árgangur 19806. árgangur 19817. árgangur 19828. árgangur 19839. árgangur 198410. árgangur 198511. árgangur 198612. árgangur 198713. árgangur 198814. árgangur 198915. árgangur 199016. árgangur 199117. árgangur 199218. árgangur 199319. árgangur 199420. árgangur 199521. árgangur 199622. árgangur 199723. árgangur 199824. árgangur 199925. árgangur 200026. árgangur 200127. árgangur 200228. árgangur 200329. árgangur 200430. árgangur 200531. árgangur 200632. árgangur 200733. árgangur 200834. árgangur 200935. árgangur 201036. árgangur 201137. árgangur 201238. árgangur 201339. árgangur 201440. árgangur 201541. árgangur 201642. árgangur 201743. árgangur 201844. árgangur 2019
Tölvumál - 01.01.2017, Blaðsíða 22
22
Margir lesendur Tölvumála vita vafalaust af setningu nýrra persónu
verndarreglna í Evrópu. Nánar tiltekið er um að ræða reglugerð ESB nr.
2016/679 um vernd einstaklinga í tengslum við vinnslu persónu upplýsinga
og um frjálsa miðlun slíkra upplýsinga og niður fellingu tilskipunar 95/46/
EB (almenna persónuverndarreglugerðin). Reglugerðin öðlaðist gildi 24.
maí 2016 og kemur til framkvæmda innan ESB frá og með 25. maí 2018.
Á Íslandi verður reglugerðin innleidd á grundvelli EESsamningsins og í
kjölfarið mun ný persónuverndarlöggjöf taka gildi, en áætlað er að það
verði á árinu 2018 [1].
Reglugerðin hefur í för með sér ýmsar breytingar sem meðal annars
snerta hina svonefndu vinnsluaðila og verður hér gerð grein fyrir helstu
breytingunum. Samantektin er byggð á greiningu á reglugerðinni sjálfri,
núgildandi lögum og þegar það á við á álitum hins svokallaða 29. gr.
starfshóps sem hefur að undanförnu látið í té nokkur álit á einstökum
efnisatriðum sem reglugerðin tekur til [2].
HVERJIR ERU VINNSLUAÐILAR?
Vinnsluaðili er skilgreindur sem einstaklingur eða lögaðili, opinbert yfirvald,
sérstofnun eða annar aðili sem vinnur persónuupplýsingar á vegum
ábyrgðaraðila, en ábyrgðaraðili er sá sem sem ákvarðar tilgang og aðferðir
við vinnslu persónuupplýsinga. Til að mynda teljast upplýsingatæknifyrirtæki
hvers konar sem varðveita persónuupplýsingar á vegum annarra eða
hafa aðgang að þeim með öðrum hætti til vinnsluaðila [3]. Líkt og
núgildandi lög gera ráð fyrir skal gerður vinnslusamningur milli ábyrgðar
og vinnsluaðila, en almenna persónuverndarreglugerðin gerir nákvæmari
og ítarlegri lágmarkskröfur til efnis slíkra vinnslusamninga sem fara ætti
vel yfir við gerð þeirra. Rétt er að benda á að ekki er mælt fyrir um að
ákvæði eldri reglna skuli áfram gilda um vinnslusamninga sem nú þegar
eru í gildi og þurfa þeir því einnig að standast kröfur nýju reglugerðarinnar.
Yfirfara ætti því alla slíka samninga og eftir atvikum ganga frá uppfærðum
vinnslusamningum.
VIÐBÓTARVINNSLUAÐILAR
Vinnsluaðilar geta ráðið aðra aðila til að inna tiltekna vinnslustarfsemi af
hendi fyrir hönd ábyrgðaraðila, svonefnda viðbótarvinnsluaðila.
Viðbótarvinnsluaðilar þessir geta verið af ýmsu tagi, t.d. aðili sem starfrækir
gagnaver sem vinnsluaðili nýtir til hýsingar persónuupplýsinga sem hann
vinnur á vegum ábyrgðaraðila. Vinnsluaðilum er aðeins heimilt að nýta
viðbótarvinnsluaðila að fengnu skriflegu samþykki frá ábyrgðaraðila. Þá
er mælt fyrir um skyldu vinnsluaðila til að gera samninga við viðbótar
vinnslu aðila og ganga úr skugga um að tæknilegar og skipulagslegar
ráðstaf anir standist kröfur reglugerðarinnar, en vinnsluaðilar bera fulla
ábyrgð gagnvart ábyrgðaraðilum á því að viðbótarvinnsluaðilar efni
skuldbindingar sínar.
INNBYGGÐ OG SJÁLFGEFIN
PERSÓNUVERND
Með innbyggðri persónuvernd er átt við að vernd persónuupplýsinga sé
innbyggð í vörur og þjónustu, t.a.m. að hugbúnaður sem notaður er við
vinnslu sé hannaður á þann hátt að aðeins þeim upplýsingum sem
nauðsynlegar eru til að uppfylla tilgang vinnslunnar sé safnað. Með
sjálfgefinni persónuvernd er átt við að það sé sjálfgefið að persónu
upplýsingar verði ekki gerðar aðgengilegar almenningi án íhlutunar
einstaklingsins sem persónuupplýsingarnar varða. Ef notaðir eru
vinnsluaðilar við vinnslu persónuupplýsinga þarf ábyrgðaraðili að ganga
úr skugga um að vinnslan uppfylli þessar kröfur. Vinnsluaðilar sem eru
upplýsingatæknifyrirtæki og koma að hönnun og þróun hugbúnaðar
þurfa að hafa þessar reglur sérstaklega í huga [4].
SKRÁ YFIR VINNSLUSTARFSEMI
Vinnsluaðilar skulu halda skrá yfir alla flokka vinnslustarfsemi sem
framkvæmd er fyrir hönd ábyrgðaraðila og gera hana aðgengilega
eftirlitsyfirvaldi að beiðni þess, en skylda þessi er nýnæmi með tilkomu
reglugerðarinnar. Í reglugerðinni eru talin upp þau atriði sem skráin þarf að
innihalda. Þetta eru atriði á borð við samskiptaupplýsingar um vinnsluaðilann,
sérhvern ábyrgðaraðila sem hann starfar fyrir og almenna lýsingu á
öryggisráðstöfunum sem viðhafðar eru við vinnsluna [5]. Frá þessari skyldu
gildir sú undantekning að fyrirtæki eða stofnanir sem hafa færri en 250
starfsmenn þurfa ekki að halda skrá yfir vinnslustarfsemi nema vinnsla sé
líkleg til að hafa í för með sér áhættu fyrir réttindi og frelsi skráðra einstaklinga,
vinnslan sé ekki tilfallandi eða taki til viðkvæmra persónuupplýsinga. Það
má gera sér í hugarlund að undantekningin muni eiga óvíða við þar sem
skilyrðum þess að henni megi beita eru settar afar þröngar skorður.
ÖRYGGI PERSÓNUUPPLÝSINGA
Vinnsluaðilar skulu gera viðeigandi tæknilegar og skipulagslegar ráðstafanir
sem tryggja viðunandi öryggi persónuupplýsinga sem þeir hafa með
höndum. Með tilkomu reglugerðarinnar tekur skylda þessi nú beinlínis til
vinnsluaðila en ekki einungis í gegnum ábyrgðaraðila líkt og áður. Í
reglugerðinni eru sérstaklega nefndar nokkrar ráðstafanir sem notast
ætti við eftir því sem við á, t.a.m. notkun gerviauðkenna (e. pseudony
misation) og dulkóðun persónuupplýsinga. Vinnsluaðilar ættu því að
ganga úr skugga um hvort núverandi tæknilegar og skipulagslegar
ráðstafanir veiti persónuupplýsingum viðeigandi vernd eða hvort gera
þurfi breytingar áður en ný löggjöf tekur gildi.
TILKYNNING UM ÖRYGGISBROT
Með öryggisbroti er átt við brot á öryggi sem leiðir til óviljandi eða ólögmætrar
eyðingar, glötunar, breytinga eða birtingar persónu upplýsinga eða aðgangur
að þeim veittur í leyfisleysi. Ef vinnsluaðili verður var við öryggisbrot við
HLUTVERK OG SKYLDUR
VINNSLU AÐILA Á
GRUNDVELLI NÝRRA
PERSÓNUVERNDAR REGLNA
Lena Markusdóttir, Ingvi Snær Einarsson og Erla S. Árnadóttir, sérfræðingar LEX á sviði
persónuverndar og upplýsingatækniréttar
Blaðsíða 1
Blaðsíða 2
Blaðsíða 3
Blaðsíða 4
Blaðsíða 5
Blaðsíða 6
Blaðsíða 7
Blaðsíða 8
Blaðsíða 9
Blaðsíða 10
Blaðsíða 11
Blaðsíða 12
Blaðsíða 13
Blaðsíða 14
Blaðsíða 15
Blaðsíða 16
Blaðsíða 17
Blaðsíða 18
Blaðsíða 19
Blaðsíða 20
Blaðsíða 21
Blaðsíða 22
Blaðsíða 23
Blaðsíða 24
Blaðsíða 25
Blaðsíða 26
Blaðsíða 27
Blaðsíða 28
Blaðsíða 29
Blaðsíða 30
Blaðsíða 31
Blaðsíða 32
Blaðsíða 33
Blaðsíða 34
Blaðsíða 35
Blaðsíða 36
Blaðsíða 37
Blaðsíða 38
Blaðsíða 39
Blaðsíða 40
Blaðsíða 41
Blaðsíða 42
Blaðsíða 43
Blaðsíða 44
Blaðsíða 45
Blaðsíða 46
Blaðsíða 47
Blaðsíða 48
Blaðsíða 2
Blaðsíða 3
Blaðsíða 4
Blaðsíða 5
Blaðsíða 6
Blaðsíða 7
Blaðsíða 8
Blaðsíða 9
Blaðsíða 10
Blaðsíða 11
Blaðsíða 12
Blaðsíða 13
Blaðsíða 14
Blaðsíða 15
Blaðsíða 16
Blaðsíða 17
Blaðsíða 18
Blaðsíða 19
Blaðsíða 20
Blaðsíða 21
Blaðsíða 22
Blaðsíða 23
Blaðsíða 24
Blaðsíða 25
Blaðsíða 26
Blaðsíða 27
Blaðsíða 28
Blaðsíða 29
Blaðsíða 30
Blaðsíða 31
Blaðsíða 32
Blaðsíða 33
Blaðsíða 34
Blaðsíða 35
Blaðsíða 36
Blaðsíða 37
Blaðsíða 38
Blaðsíða 39
Blaðsíða 40
Blaðsíða 41
Blaðsíða 42
Blaðsíða 43
Blaðsíða 44
Blaðsíða 45
Blaðsíða 46
Blaðsíða 47
Blaðsíða 48
x
Tölvumál
Beinir tenglar
Ef þú vilt tengja á þennan titil, vinsamlegast notaðu þessa tengla:
Tengja á þennan titil: Tölvumál
https://timarit.is/publication/239
Vinsamlegast ekki tengja beint á myndir eða PDF skjöl á Tímarit.is þar sem slíkar slóðir geta breyst án fyrirvara. Notið slóðirnar hér fyrir ofan til að tengja á vefinn.
Aðgerðir: