Hvað er öryggisbrestur í skilningi persónuverndarlaga?

Í stuttu máli er öryggisbrestur þegar:

  • Óviðkomandi aðili fær aðgang að persónuupplýsingum.
  • Persónuupplýsingum er breytt án heimildar.
  • Persónuupplýsingar eru ekki til staðar þegar á þarf að halda.

Hvað þarf ég sem ábyrgðaraðili að gera þegar öryggisbrestur á sér stað?

Þegar öryggisbrestur kemur upp þarf ábyrgðaraðili að meta hvort hann feli í sér áhættu fyrir hinn skráða, og eftir atvikum, hina skráðu. Feli hann í sér áhættu þarf ábyrgðaraðili að senda tilkynningu þess efnis til Persónuverndar. Í alvarlegri tilfellum þarf einnig að tilkynna hinum skráða um öryggisbrestinn.


Hvað er áhætta fyrir hinn skráða?

Við mat á áhættu þarf ábyrgðaraðili að horfa til þeirra afleiðinga sem öryggibsrestur getur haft í för með sér fyrir hinn skráða. Til dæmis væri það lítil áhætta ef verslun týnir netfangi viðskiptavinar. Hið sama verður ekki sagt um lækni sem týnir sjúkraskrá sjúklings en þá gæti líf hins skráða verið undir.


Hvað hef ég langan tíma til að tilkynna Persónuvernd um öryggisbrest?

Ábyrgðaraðili verður að tilkynna Persónuvernd innan 72 klst. eftir að hann verður öryggisbrestsins var. Ef tilkynning er ekki send innan tímamarka þarf ábyrgðaraðili að tilgreina ástæður fyrir töfinni.


Hvað hef ég langan tíma til að tilkynna hinum skráða um öryggisbrest?

Ábyrgðaraðili verður að tilkynna hinum skráða um öryggisbrestinn eins fljótt og auðið er. Því fyrr sem hinn skráði fær tilkynninguna, þeim mun líklegra er að hann geti gætt hagsmuna sinna.


Hvaða upplýsingar á tilkynning um öryggisbrest að innihalda?

  • Þegar senda þarf tilkynningu til Persónuverndar:
  • Tilkynningin þarf meðal annars að innihalda upplýsingar um eðli öryggisbrestsins, þann hóp einstaklinga sem um ræðir, tegundir persónuupplýsinga, líklegar afleiðingar fyrir hina skráðu og hvað ábyrgðaraðili hefur gert, eða ætlar að gera, til að draga úr skaðlegum áhrifum hans.
  • Þegar senda þarf tilkynningu til hins skráða/hinna skráðu:
  • Tilkynningin þarf meðal annars að innihalda upplýsingar um líklegar afleiðingar fyrir hinn skráða og hvað ábyrgðaraðili hefur gert, eða ætlar að gera, til að draga úr skaðlegum áhrifum öryggisbrestsins.

Hvað ef ég þarf ekki að tilkynna öryggisbrestinn?

Sem ábyrgðaraðila ber þér að skrá alla öryggisbresti án tillits til þess hvort þeir séu tilkynningaskyldir eða ekki. Að öðrum kosti getur ábyrgðaraðili ekki sýnt fram reglufylgni við löggjöfina.


En ef öryggisbrestur verður hjá vinnsluaðila?

Ef öryggisbrestur verður hjá vinnsluaðila ber honum að tilkynna þér um hann eins fljótt og auðið er. Í kjölfarið er það á þinni ábyrgð að meta áhættuna og hvort tilkynning til Persónuverndar og hinna skráðu sé nauðsynleg.


Hvað ef ég tilkynni ekki öryggisbrest?

Láti ábyrgðaraðili hjá líða að tilkynna öryggisbrest er um sjálfstætt brot að ræða á persónuverndarlögum. Slík vanræksla mun að öllum líkindum hafa áhrif til hækkunar á þá sektarfjárhæð sem Persónuvernd hefur heimild til að leggja á ábyrgðaraðila.