Ábyrgðaraðilar, vinnsluaðilar og undirvinnsluaðilar
Áður en vinnsla persónuupplýsinga hefst þarf að afmarka hver telst ábyrgðaraðili vinnslunnar. Þá getur þurft að líta þess hvort um sameiginlega ábyrgðaraðila sé að ræða eða hvort standi til að hefja samningssamband við vinnsluaðila eða jafnvel undirvinnsluaðila, eftir því sem við á.
Ábyrgðaraðili
Ábyrgðaraðili er sá sem ákveður tilgang og aðferðir við vinnslu persónuupplýsinga. Hann getur verið einstaklingur, fyrirtæki, stjórnvald eða annar aðili.
Persónuvernd er til dæmis ábyrgðaraðili að vinnslu allra persónuupplýsinga sem fram fer hjá stofnuninni.
Sameiginlegir ábyrgðaraðilar
Ef tiltekin vinnsla fer fram á vegum tveggja eða fleiri ábyrgðaraðila geta þeir talist sameiginlegir ábyrgðaraðilar.
Sameiginlegir ábyrgðaraðilar bera báðir/allir ábyrgð á afmörkuðum þáttum vinnslunnar og þurfa að útbúa sérstakan samning um skiptingu ábyrgðar áður en vinnslan hefst.
Í slíkum samningi þarf að skilgreina hver ber ábyrgð á hverju, til dæmis hver beri ábyrgð á að veita einstaklingum fræðslu um fyrirhugaða vinnslu.
Vinnsluaðili
Vinnsluaðili er sá sem tekur að sér vinnslu persónuupplýsinga fyrir ábyrgðaraðila á grundvelli svokallaðs vinnslusamnings, til dæmis hugbúnaðarfyrirtæki eða hýsingaraðili. Hann getur verið einstaklingur, fyrirtæki, stjórnvald eða annar aðili.
Ábyrgðaraðili skal einungis leita til vinnsluaðila sem veitir nægilegar tryggingar fyrir persónuvernd skráðra einstaklinga og fyrir viðeigandi tæknilegum og skipulagslegum ráðstöfunum, til að vinnslan uppfylli kröfur persónuverndarlöggjafarinnar.
Áður en ábyrgðaraðili gerir samning við vinnsluaðila um vinnslu persónuupplýsinga þarf hann að ganga úr skugga um að vinnsluaðilinn geti ábyrgst að viðeigandi ráðstafanir verði gerðar til þess að vinnsla persónuupplýsinganna uppfylli kröfur persónuverndarlaganna.
Dæmi
Sem dæmi um samband ábyrgðaraðila og vinnsluaðila má nefna banka sem semur við auglýsingastofu um að senda auglýsingapóst til viðskiptavina bankans. Bankinn er þá ábyrgðaraðili, en auglýsingastofan er vinnsluaðili, og um þessa vinnslu persónuupplýsinga þarf að gera sérstakan vinnslusamning sem uppfyllir skilyrði persónuverndarlaga.
Hins vegar skal á það bent að þótt auglýsingastofan sé vinnsluaðili í þessu tiltekna samningssambandi telst hún vera sjálfstæður ábyrgðaraðili hvað varðar þá vinnslu persónuupplýsinga sem ekki fer fram á grundvelli vinnslusamnings.
Þegar auglýsingastofan vinnur með persónuupplýsingar um sína eigin starfsmenn eða viðskiptavini, í þágu eigin starfsemi stofunnar, telst hún því vera ábyrgðaraðili.
Leiðbeiningar Persónuverndar fyrir vinnsluaðila
Persónuvernd hefur útbúið ítarlegar leiðbeiningar Persónuverndar fyrir vinnsluaðila sem gagnlegt getur verið að líta til.
Undirvinnsluaðili
Í einhverjum tilvikum kann vinnsluaðilinn að vilja útvista hluta af þeim verkefnum sem hann hefur tekið að sér í vinnslusamningi til þriðja aðila, til dæmis annars fyrirtækis, sem nefnist þá undirvinnsluaðili.
Það er þó óheimilt nema vinnsluaðilinn hafi áður fengið skriflegt leyfi fyrir því frá ábyrgðaraðilanum.
Dæmi
Dæmi um þetta er þegar framleiðslufyrirtæki (ábyrgðaraðili) semur við hugbúnaðarfyrirtæki (vinnsluaðili) um kaup á þjónustu sem felur í sér vistun gagna, sem innihalda meðal annars persónuupplýsingar. Hugbúnaðarfyrirtækið semur svo við hýsingaraðila (undirvinnsluaðila) sem býður upp á hýsingu gagna í tölvuskýi.
Í þessu dæmi ætti framleiðslufyrirtækið ekki að þurfa að sæta því að gögn þess verði færð í tölvuský á vegum hýsingaraðila sem framleiðslufyrirtækið hefur enga vitneskju um og hefur ekki samþykkt.
Hugbúnaðarfyrirtækið þarf því að afla leyfis frá framleiðslufyrirtækinu áður en gögnin eru færð yfir til hýsingaraðilans.
