GDPR: Nýtt landslag í persónuvernd

Faglegt efni

GDPR: Skrá yfir vinnslustarfsemi

Ný reglulegerð um persónuvernd

Birna María Sigurðardóttir & Björn Ingi Victorsson - júní 2017

Ný löggjöf um verndun persónuupplýsinga leggur þær skyldur á herðar ábyrgðar- og vinnsluaðila að þeir haldi skrá yfir þá vinnslu persónuupplýsinga sem fram fer á þeirra ábyrgð. Slík skrá, og viðhald hennar, krefst mikillar samvinnu á milli ólíkra deilda innan fyrirtækja og að allir þekki sitt hlutverk.

Nauðsynlegar upplýsingar um vinnslustarfsemi

Sérhverjum ábyrgðaraðila ber að halda skrár yfir alla þá vinnslustarfsemi sem á sér stað innan fyrirtækisins. Þessar skrár þurfa að vera skriflegar (þar með talið á rafrænu formi) og innihalda allar eftirfarandi upplýsingar:

  • nafn og tengiliðaupplýsingar ábyrgðaraðila
  • tilgang vinnslunnar
  • lýsingu á flokkum skráðra einstaklinga og á flokkum persónuupplýsinga
  • flokka þeirra viðtakanda sem hafa fengið, eða munu fá, upplýsingarnar, þar á meðal viðtakendur í þriðju löndum eða alþjóðastofnanir
  • flutning persónuupplýsinga til þriðju landa eða alþjóðastofnana, þar með talið um hvaða þriðja land eða alþjóðastofnun er að ræða og viðeigandi öryggisráðstafanir sé þeirra krafist
  • tímamörk varðandi eyðingu flokka gagna, sé það mögulegt
  • almenna lýsingu á tæknilegum og skipulagslegum öryggisráðstöfunum, sé það mögulegt

Flokkar vinnslustarfseminnar

Ný löggjöf setur ekki bara kröfur á herðar ábyrgðaraðila heldur einnig vinnsluaðila. Sérhver vinnsluaðili þarf að halda skrá um alla flokka vinnslustarfsemi sem framkvæmd er fyrir hönd ábyrgðaraðila og í henni skal koma fram:

  • heiti og tengiliðaupplýsingar vinnsluaðila og sérhvers ábyrgðaraðila sem hann starfar fyrir, og eftir atvikum, fulltrúa ábyrgðaraðila eða vinnsluaðila og persónuverndarfulltrúa
  • flokkar þeirrar vinnslustarfsemi sem fram fer fyrir hvern ábyrgðaraðila
  • flutningur persónuupplýsinga til þriðju landa eða alþjóðastofnana, þar með talið um hvaða þriðja land eða alþjóðastofnun er að ræða og viðeigandi öryggisráðstafanir sé þeirra krafist
  • tímamörk varðandi eyðingu flokka gagna, sé það mögulegt

Ennfremur skulu bæði ábyrgðaraðili og vinnsluaðili hafa þessar skrár tiltækar fyrir persónuverndaryfirvöld, þegar þess er óskað. Þó skal hafa í huga að þessi krafa gildir ekki um fyrirtæki sem eru með færri en 250 manns í vinnu, nema vinnslan sé líkleg til að leiða af sér áhættu fyrir réttindi og frelsi skráðra einstaklinga, vinnslan sé ekki tilfallandi eða taki til sérstakra flokka upplýsinga, eins og heilsufarsupplýsinga, eða upplýsinga er varða sakfellingar í refsimálum eða refsiverð brot.


Tæknilegar og skipulagslegar ráðstafanir

Að halda skipulega utan um allar vinnsluaðgerðir sem eiga sér stað innan fyrirtækja getur verið áskorun, sérstaklega þegar slíkar vinnslur eiga sér stað innan mismunandi deilda. Hver er besta leiðin til þess að samræma þessar upplýsingar, hvar er best að geyma gögnin, og hvernig er best að viðhalda þessum gögnum og uppfæra þau? Slíkum spurningum þarf að svara.

Þar sem vinnsla gagna á sér oft og tíðum stað þvert yfir fyrirtækið er mikilvægt að greina í upphafi þá aðila sem gegna lykilhlutverki í hönnun og þróun nýrra vara, ferla, kerfa eða verkefna. Þetta er fólkið sem hefur innsýn inn í vinnslustarfsemina og verður mikilvægur hlekkur í því að búa til og viðhalda skrá um vinnsluaðgerðir. Næsta skref er að ákveða hvernig best er að safna upplýsingum saman, vista þær á miðlægum stað og viðhalda. Mikið af þeim upplýsingum sem skrá um vinnsluaðgerðir þarf að innihalda getur verið að finna í áhættumati fyrirtækisins, einkum því sem snýr að persónuupplýsingum, en með því að nota þær upplýsingar sem þegar hafa verið skráðar og aðlaga þá ferla sem þegar eru til staðar í fyrirtækinu má koma í veg fyrir tvíverknað.

Þegar ferillinn um skrá um vinnsluaðgerðir er útbúinn þarf samhliða að útdeila hlutverkum og ábyrgð; ábyrgð á söfnun upplýsinga, skráningu þeirra í skránna um vinnsluaðgerðir og að uppfæra skránna. Það hvernig skráin mun líta út, eða hvort sérstakt kerfi er notað til að halda utan um hana, verður að fara eftir stærð fyrirtækisins og eðli starfseminnar. Einnig er mjög mikilvægt að strax sé sett stefna um hverjir eigi að hafa aðgengi að skránni og af hverju, og hverjir hafi réttindi til að uppfæra hana.

Hugsanlegt breytt vinnulag fyrirtækja

Eins og margar aðrar kröfur löggjafarinnar getur þessi krafa orðið til þess að fyrirtæki þurfa að breyta vinnulagi sínu að einhverju leyti. Sum fyrirtæki geta þurft að fara út í þróunarferli til að finna réttu tæknilegu lausnina og innleiðing slíkra lausna kostar bæði tíma og peninga. Við viljum þó hvetja fyrirtæki til að horfa fremur á kosti þess að innleiða þessa kröfu löggjafarinnar. Skráin mun veita yfirsýn yfir allar vinnsluaðgerðir sem eiga sér stað í starfseminni og tilgang þeirra. Líklegt er að einhverjar vinnslur séu í gangi sem ekki hafa beinan viðskiptalegan tilgang og verið sé að vinna með eða geyma gögn sem ekki er þörf fyrir. Þekking um slíkt opnar möguleika á aukinni skilvirkni, lækkun kostnaðar og á því að gera meira með þær upplýsingar sem nú þegar eru fyrir hendi.

Við viljum hvetja fyrirtæki til að horfa á kosti þess að innleiða þessa kröfu löggjafarinnar. 

Did you find this useful?