Viðbrögð vegna öryggisbrests í skilningi persónuverndarlaga
Verði öryggisbrestur skal huga að eftirfarandi atriðum:
Útbúa áhættumat
Þegar ábyrgðaraðili verður var við öryggisbrest er mikilvægt að hann leiti bæði leiða til að takmarka tjón sem af brestinum kann að hljótast og leggi jafnframt mat á þá áhættu sem öryggisbresturinn kann að hafa í för með sér.
Mat á áhættu ætti einkum að taka tillit til eftirfarandi atriða:
Tegund öryggisbrests
Eðli, viðkvæmni og magn persónuupplýsinga
Hversu auðvelt er að persónugreina einstaklinga
Hversu alvarleg áhrifin eru fyrir einstaklinga
Sérstakt eðli einstaklinganna (líkt og börn eða aðrir viðkvæmir hópar)
Fjöldi þeirra einstaklinga sem verða fyrir öryggisbrestinum
Sérstakt eðli ábyrgðaraðilans
Almenn atriði
Færa upplýsingar um brestinn í skrá yfir öryggisbresti
Ábyrgðaraðila ber að halda skrá yfir hvers kyns öryggisbresti sem verða við vinnslu persónuupplýsinga. Þar skulu tilgreind málsatvik, áhrif og þær aðgerðir til úrbóta sem gripið var til.
Þá er mælt með því að ábyrgðaraðili skrái einnig niður rök fyrir ákvarðanatöku þegar öryggisbrestur á sér stað og þeim ráðstöfunum sem gerðar eru. Slík skráning aðstoðar til dæmis í samskiptum við Persónuvernd, berist tilkynning of seint.
Tilkynna öryggisbrestinn til Persónuverndar
Nema ef ólíklegt þykir að bresturinn leiði til áhættu fyrir réttindi og frelsi einstaklinga
Tilkynna skal um brestinn án ótilhlýðilegrar tafar, ef mögulegt er innan 72 klukkustunda frá því að brestsins verður vart
Ef Persónuvernd er ekki tilkynnt um brestinn innan 72 klukkustunda skulu ástæður fyrir töfinni fylgja tilkynningu
Leggja mat á hvort tilkynna þurfi skráðum einstaklingi um öryggisbrestinn
Ef líklegt er að öryggisbrestur við meðferð persónuupplýsinga leiði af sér mikla áhættu fyrir réttindi og frelsi einstaklinga skal ábyrgðaraðili tilkynna skráðum einstaklingi um brestinn án ótilhlýðilegrar tafar.
Tilkynningin skal vera á skýru og einföldu máli og geyma lýsingu á eðli brestsins.
Jafnframt skal tilkynningin geyma upplýsingar um eftirfarandi:
nafn og samskiptaupplýsingar persónuverndarfulltrúa eða annars tengiliðar þar sem hægt er að fá frekari upplýsingar,
afleiðingar öryggisbrests við meðferð persónuupplýsinga,
ráðstafanir sem ábyrgðaraðili hefur gert eða fyrirhugar að gera vegna öryggisbrests við meðferð persónuupplýsinga, þ.m.t. eftir því sem við á, ráðstöfunum til að milda hugsanleg skaðleg áhrif hans.
Ekki þarf að senda skráðum einstaklingi tilkynningu ef:
Ef gripið hefur verið til viðeigandi ráðstafana, einkum í því skyni að gera persónuupplýsingarnar ólæsilegar.
Ef gerðar hafa verið ráðstafanir sem gera það ólíklegt að aftur komi til jafnmikillar áhættu fyrir réttindi og frelsi skráðra einstaklinga
Það myndi hafa í för með sér óhóflega fyrirhöfn en þá ber að birta upplýsingar um brestinn með almennum hætti.
