Vinnsluskrár
Nánast öllum sem vinna með persónuupplýsingar er skylt að halda skrá yfir vinnslustarfsemi eða vinnsluskrá. Vinnsluskráin er mikilvægt tæki til að uppfylla ábyrgðarskylduna.
Hverjir eiga að gera vinnsluskrá?
Sérhver ábyrgðaraðili og vinnsluaðili og, eftir atvikum fulltrúi þeirra, skal halda skrá yfir vinnslustarfsemi sína. Um upplýsingar sem skráin skal innihalda, form skrár, aðgengileika o.fl. gilda fyrirmæli 30. gr. persónuverndarreglugerðarinnar.
Fyrirtæki og stofnanir sem hafa færri en 250 starfsmenn eru undanþegin skyldunni til að halda vinnsluskrár að því er varðar ákveðnar vinnslur. Undanþágan er aftur á móti mjög þröng og því er sjaldgæft að hún eigi við að öllu leyti um fyrirtæki eða stofnun.
Þannig þurfa fyrirtæki og stofnanir með starfsmenn undir 250 að halda slíka skrá ef vinnslan er:
- líkleg til að leiða af sér áhættu fyrir réttindi og frelsi skráðra einstaklinga,
- ekki tilfallandi, eða
- taki til sérstakra flokka upplýsinga, eins og um getur í 1. mgr. 9. gr. pvrg., eða persónuupplýsinga er varða sakfellingar í refsimálum og refsiverð brot sem um getur í 10. gr. pvrg.
Í framkvæmd og nær án undantekninga skulu því öll fyrirtæki og stofnanir halda skrár yfir vinnslustarfsemi sína.
Þá er rétt að geta þess að fyrirtækjum og stofnunum mun í öllum tilvikum gagnast að kortleggja þá vinnslu persónuupplýsinga sem þar fer fram, sem þátt í innra utanumhaldi og skjölun.
Hvaða upplýsingar eiga að koma fram í vinnsluskrá?
Vinnsluskrá ábyrgðaraðila skal innihalda eftirfarandi upplýsingar:
- Nafn og samskiptaupplýsingar ábyrgðaraðila og eftir atvikum sameiginlegra ábyrgðaraðila, fulltrúa ábyrgðaraðila og persónuverndarfulltrúa.
- Tilgang vinnslunnar.
- Lýsing á flokkum skráðra einstaklinga og flokkum persónuupplýsinga.
- Flokkar viðtakenda sem fengið hafa eða munu fá persónuupplýsingarnar í hendur, m.a. viðtakenda í þriðju löndum eða alþjóðastofnanir.
- Ef við á, miðlun persónuupplýsinga til þriðja lands eða alþjóðastofnunar. Hér þyrfti að koma fram um hvaða þriðja land eða alþjóðastofnun er að ræða og til hvaða verndarráðstafana er gripið.
- Ef mögulegt er, fyrirhuguð tímamörk varðandi eyðingu mismunandi gagnaflokka.
- Ef mögulegt er, almenn lýsing á þeim tæknilegu og skipulagslegu öryggisráðstöfunum sem um getur í 1. mgr. 32. gr. pvrg.
Vinnsluskrá vinnsluaðila skal innihalda eftirfarandi upplýsingar:
- Nafn og samskiptaupplýsingar vinnsluaðila, eins eða fleiri, og sérhvers ábyrgðaraðila sem vinnsluaðilinn starfar í umboði fyrir og eftir atvikum, fulltrúa ábyrgðaraðila eða vinnsluaðila og persónuverndarfulltrúa.
- Flokkar vinnslu sem fer fram fyrir hönd hvers ábyrgðaraðila
- Ef við á, miðlun persónuupplýsinga til þriðja lands eða alþjóðastofnunar, þ.m.t. um hvaða þriðja land eða alþjóðastofnun er að ræða, og, ef um er að ræða miðlun sem um getur í annarri undirgrein 1.mgr. 49. gr. pvrg., gögn um viðeigandi verndarráðstafanir.
- Ef mögulegt er, almenn lýsing á þeim tæknilegu og skipulagslegu öryggisráðstöfunum sem um getur í 1. mgr. 32. gr. pvrg.
Rétt er að athuga að ábyrgðaraðili skal gera vinnslusamning við sérhvern vinnsluaðila. Um innihald slíkra vinnslusamninga vísast til 28. gr. pvrg., sem og leiðbeininga Persónuverndar fyrir vinnsluaðila þar að lútandi.
Hvernig á að útbúa vinnsluskrá?
- Ekki er til staðar nein formkrafa um hvernig vinnsluskráin skuli sett fram, eða hvaða aðferð skuli notuð við gerð hennar. Fyrirtæki og stofnanir ákveða því fyrirkomulag skrárinnar sjálf; hvort sem það er gert með því að hafa yfirlit í formi skriflegs skjals, Excel skjals, eða með öðrum hætti.
- Hafa skal í huga að skylt er að fara að kröfum hvað varðar efni vinnsluskráa, og þarf því að gæta þess að þeim sé fullnægt óháð því formi sem notast er við.
- Persónuvernd hefur til leiðbeiningar útbúið form að vinnsluskrá fyrir ábyrgðaraðila annars vegar og vinnsluaðila hins vegar, sem nýta má til að fá nauðsynlega yfirsýn.
- Athugið að verið getur að hver ábyrgðaraðili þurfi að laga skrána að aðstæðum hjá sér, enda getur starfsemi ábyrgðaraðila verið mjög ólík að stærð og umfangi.
- Gott er að hafa í huga að megintilgangur skrárinnar er að fá yfirsýn yfir þá vinnslu persónuupplýsinga sem fram fer í starfseminni, en ekki endilega hverja einustu vinnsluaðgerð sem framkvæmd er.
- Í forminu fyrir ábyrgðaraðila eru fleiri dálkar heldur en þörf er á samkvæmt lögum. Þetta er gert vegna þess að betri yfirsýn getur verið gott hjálpartæki í vinnunni við að tryggja eftirfylgni við skyldur og réttindi hins skráða. Er þá auðveldara að svara fyrirspurnum frá einstaklingum, sem vilja fá upplýsingar um hvað er skráð um þá, hvaðan upplýsingarnar eru komnar, og á grundvelli hvaða heimildar upplýsingarnar eru unnar. Yfirsýnin er einnig gagnleg þegar uppfylla skal viðvarandi upplýsingaskyldu, til dæmis að því er varðar persónuverndarstefnu.