Tölvuský
Persónuvernd leggur mikla áherslu á að persónuupplýsingar séu ekki vistaðar í tölvuskýjum nema að undangengnu ítarlegu áhættumati. Mikilvægt er að meta hvort flutningur úr landi, ef tölvuský er vistað erlendis, sé heimill, sem og hvaða tegundir upplýsinga sé ástættanlegt að flytja í skýið og þá hvers konar ský.
Hvað er mikilvægt að hafa í huga varðandi vistun persónuupplýsinga í tölvuskýi?
Þegar skoðað er hvort mögulegt er að vista gögn í tölvuskýi verður að huga að ýmsum atriðum. Persónuvernd leggur mikla áherslu á að persónuupplýsingar séu ekki vistaðar í tölvuskýjum nema að undangengnu ítarlegu áhættumati. Mikilvægt er að meta hvort flutningur úr landi, ef tölvuský er vistað erlendis, sé heimill, sem og hvaða tegundir upplýsinga sé ástættanlegt að flytja í skýið og þá hvers konar ský.
Markmið áhættumats er m.a. að leiða í ljós hvort forsendur séu til staðar fyrir flutningi gagna í tölvuský, og þá hvernig tölvuský, en það skal m.a. gert með greiningu á áhættuþáttum og með hliðsjón af trúnaðarstigi og lögum og reglum sem við eiga.
Lykilatriði er því að sá sem ber ábyrgð á vinnslu persónuupplýsinga, svokallaður ábyrgðaraðili, viti hvar, hvernig og hverjir vinna með persónuupplýsingarnar sem hann ber ábyrgð á.
Niðurstöður áhættumats skulu bornar upp á móti metnum ávinningi af innleiðingu skýjalausnar, en ekki er sjálfgefið að útvistun viðkvæmra persónuupplýsinga sé heimil.
Ýmis fyrirtæki og einstaklingar í verktöku taka að sér að aðstoða við framkvæmd áhættumats.
Verða persónuupplýsingar hýstar í tölvuskýinu?
Mikilvægt er að byrja á því að athuga hvort persónuupplýsingar verði vistaðar í tölvuskýinu. Persónuupplýsingar eru upplýsingar um persónugreindan eða persónugreinanlegan einstakling. Einstaklingur telst persónugreinanlegur ef unnt er að persónugreina hann, beint eða óbeint, svo sem með tilvísun í auðkenni eins og nafn, kennitölu, staðsetningargögn, netauðkenni eða einn eða fleiri þætti sem einkenna hann í líkamlegu, lífeðlisfræðilegu, erfðafræðilegu, andlegu, efnalegu, menningarlegu eða félagslegu tilliti. Ef um persónuupplýsingar er að ræða verður sá sem ber ábyrgð á þeim að meta hvort heimilt sé að hýsa upplýsingarnar í tölvuskýi. Á honum hvíla jafnframt ýmsar skyldur samkvæmt persónuverndarlögunum, m.a. um að gera viðeigandi tæknilegar og skipulagslegar ráðstafanir, sem taka mið af eðli, umfangi, samhengi og tilgangi vinnslunnar og áhættu fyrir réttindi og frelsi skráðra einstaklinga, til að tryggja og sýna fram á að vinnsla persónuupplýsinganna uppfylli kröfur persónuverndarlaga.
Að auki verður að vera einhver heimild samkvæmt persónuverndarlögum fyrir vinnslu persónuupplýsinga. Ekki er sjálfgefið að heimilt sé að vista viðkvæmar persónuupplýsingar í tölvuskýi.
Hvaða reglur gilda um vinnsluaðila og undirvinnsluaðila?
Samkvæmt persónuverndarlögum getur sá sem ber ábyrgð á vinnslu persónuupplýsinga (ábyrgðaraðili) heimilað að annar aðili, svokallaður vinnsluaðili, vinni með persónuupplýsingar á hans vegum, en fyrirtæki sem býður tölvuskýjaþjónustu eða aðrar hugbúnaðarlausnir getur til að mynda verði vinnsluaðili. Þá getur vinnsluaðili ráðið svokallaðan undirvinnsluaðila til að sinna afmörkuðum hluta vinnslunnar fyrir sig. Þetta er algengt fyrirkomulag hér á landi þar sem upplýsingatæknifyrirtæki bjóða upp á ýmsar lausnir tengdar málaskrárkerfum, en upplýsingarnar eru vistaðar á tölvuskýi erlendra aðila. Telst þá erlendi aðilinn undirvinnsluaðili. Vinnsluaðila er almennt talið óheimilt að semja við slíkan aðila nema sá sem ber ábyrgð á vinnslu upplýsinganna samþykki það með skýrum hætti, eða að mælt sé fyrir um slíkt í svokölluðum vinnslusamningi. Ítarlegri upplýsingar og leiðbeiningar um ábyrgðaraðila, vinnsluaðila, undirvinnsluaðila og vinnslusamninga er að finna annars staðar á vefsíðunni.
Hvaða reglur gilda um flutning persónuupplýsinga úr landi?
Margar, ef ekki flestar, tölvuskýjaþjónustur eru hýstar erlendis og oft í Bandaríkjunum. Því er nauðsynlegt að huga að því að til staðar sé fullnægjandi heimild til flutnings persónuupplýsinga úr landi. Um heimildir til flutnings persónuupplýsinga til annarra landa er fjallað annars staðar á vefsíðunni.
Eru til frekari leiðbeiningar um notkun tölvuskýja?
Fjármála- og efnahagsráðuneytið, í samstarfi við Persónuvernd og Rekstrarfélag Stjórnarráðsins, hefur gefið út leiðbeiningar til ríkisstofnana um notkun á tölvuskýjalausnum sem hafa má til hliðsjónar við mat á því hvort taka skuli í notkun slíka þjónustu, en leiðbeiningarnar geta að sjálfsögðu nýst öðrum en ríkisstofnunum. Leiðbeiningarnar innihalda meðal annars gátlista vegna fyrirhugaðrar innleiðingar á skýjaþjónustu. Þá er þar að finna umfjöllun um áhættumat í tengslum við vistun gagna í skýjalausnum, en markmið þess er að leiða í ljós hvort forsendur séu til staðar fyrir flutningi gagna í tölvuský, og þá hvers konar tölvuský.
Þá er vert að benda á að ráðgefandi vinnuhópur fulltrúa persónuverndarstofnana í Evrópu, sem starfaði samkvæmt 29. gr. tilskipunar 95/46/EB um persónuvernd, hefur gefið út álit um tölvuský . Í álitinu er farið yfir þau álitamál sem komið hafa upp með aukinni notkun tölvuskýja og farið yfir þau atriði sem valdið hafa vandkvæðum út frá persónuverndarsjónarmiðum, m.a. varðandi öryggi upplýsinga. Farið er yfir álitamál sem tengjast því að deila búnaði með öðrum aðilum, skorti á gegnsæi t.d. hvað varðar það þegar upplýsingar eru fluttar út fyrir EES og möguleika ábyrgðaraðila á að fullnægja upplýsingaskyldu sinni gagnvart hinum skráða. Ein helsta niðurstaða álitsins er sú að ábyrgðaraðilar verða að láta fara fram áhættumat áður en þeir taka ákvörðun um að nýta sér umrædda þjónustu. Í álitinu er lögð höfuðáhersla á að það sé ábyrgðaraðili vinnslunnar sem ber ábyrgð á því að velja tölvuský sem uppfyllir skilyrði laga.