Ný persónuverndarlög: Vinnslusamningar rafrænt undirritaðir

Ný persónuvernarlög nr. 90/2018 tóku gildi 15. júlí sl. og voru innleiðing á ESB reglugerð nr. 679/2016 (GDPR). Tölvupóstar og tilynningar tengdar nýja regluverkinu hafa undanfarnar vikur og mánuði ringt yfir flesta notendur á samfélagsmiðlum og öðrum lausnum. Við hjá Dokobit erum að sjálfsögðu búin að uppfæra okkar skilmála í samræmi en þessi lög snerta mun fleiri og hefur mun víðtækari áhrif á fyrirtæki heldur en fyrri lögjöf. Ýmis fyrirtæki þurfa því núna að bregaðst við með viðeigandi ráðstöfunum til að fylgja lögunum.

Undanfarnar vikur hefur viðskiptavinum Dokobit fjölgað umtalsvert tengt tilfellum þar sem íslensk þjónustufyrirtæki nota Dokobit til að fá undirritaða svokallaða vinnslusamninga (e. Data Processing Agreement) við viðskiptavini sína til að uppfylla kröfur laganna. Með rafrænum undirskriftum er hægt að klára málið á einfaldari hátt.

Það fer alltaf eftir eðli þjónustunnar sem er boðin hvort og hvernig samþykki þarf frá viðskiptavininum. Ef það inniheldur meðferð persónuuplýsinga til að geta veitt þjónustuna getur það skipt miklu máli. Í mörgum tilfellum eru fyrirtæki í stöðu þess að vera vinnsluaðili persónuupplýsinga fyrir hönd viðskiptavinar og þar með af gögnum hans viðskiptavina. Í slíkum tilfellum er æskilegt að vinnsluaðilinn og viðskiptavinurinn geri á milli sín vinnslusamning þar sem fram kemur hvaða persónugögn eru send til vinnslu þeirra á milli, í hvaða tilgangi þau eru notuð til þess að hægt sé að veita þjónustuna, hvernig og hversu lengi þau séu geymd og hvaða ferli sé til staðar ef viðskiptavinur eða jafnvel endanotandinn óski þess að upplýsingunum sé eytt. Einnig þurfa þjónustufyrirtæki að upplýsa alla sína notendur hvaða vinnsluaðila það notar í skilmálum sínum á svipaðan hátt og framleiðendur matvæla þurfa að birta innihaldslýsingu hráefna í vörum sínum.

Á vef Persónuverndar (personuvernd.is) eru skýrar leiðbeiningar fyrir vinnsluaðila persónuupplýsinga og nauðsynleg skref til þess að mæta helstu kröfum GDPR. Sé um flókna þjónustu að ræða með mikið magn og etv. viðkvæmar persónuupplýsingar mælum við alltaf með því að sækja ráðgjöf frá lögfræðingum og/eða öðrum sérfræðingum til að tryggja á sem besta hátt rétta meðhöndlun gagna og fylgni við kröfur laga nr. 90/2018.

Í leiðbeiningunum kemur m.a. fram í hvaða tilfellum æskilegt sé að aðilar geri á milli sín svokallaðan vinnslusamning (e. Data Processing Agreement) og hvað slíkur samningur skuli innihalda.

 

Vinnslusamningur (e. Data Processing Agreement)

Í leiðbeiningunum frá Persónuvernd kemur fram í hvaða tilfellum æskilegt sé að aðilar geri á milli sín svokallaðan vinnslusamning (e. Data Processing Agreement) og þá hvað hann skuli að lágmarki innihalda. Það eru til ótal fyrirmyndir um mismunandi vinnslusamninga sem eru aðgengilegar á netinu. Þar sem Dokobit hefur ISO 27001 vottun var undirbúningsvinna vegna GDPR langt á veg komin og var fyrir 25. maí innleidd inn í ISO verklagið okkar. Líkt og margir uppfærðum við skilmálana okkar til að mæta nýjum kröfum. Uppfærðu skilmálarnir okkar eru hér: Persónuverndarstefna, Vinnslusamningur og Listi yfir undirvinnsluaðila. Hvernig sem þið veljið að setja upp vinnslusamning (sé þess þörf) þá er mikilvægast að tekið sé tillit til eftirfarandi atriða í honum:

  • Viðfangsefni og tímalengd vinnslu persónuupplýsinga
  • Eðli og tilgangur vinnslunnar
  • Tegund þeirra persónuupplýsinga sem unnar eru f.h. viðskiptavinar
  • Flokkun hinna skráðu
  • Réttindi og skyldur viðskiptavinarins sem ábyrgðaraðila
  • Skyldur vinnsluaðila skv. 28. gr. GDPR

Í 14. kafla í leiðbeiningunum fyrir vinnsluaðila frá Persónuvernd.is er fyrirmynd af vinnslusamningi sem fyrirtæki geta notað.