Öryggisbrestur
Ábyrgðaraðilar þurfa að tilkynna öryggisbresti til Persónuverndar og í ákveðnum tilfellum þarf að tilkynna einstaklingum um að öryggisbrestur hafi orðið.
Hvað er öryggisbrestur?
Öryggisbrestur felur í sér brest á öryggi sem leiðir til óviljandi eða ólögmætrar eyðingar persónuupplýsinga, sem eru sendar, varðveittar eða unnar á annan hátt, eða að þær glatist, breytist, verði birtar eða aðgangur veittur að þeim í leyfisleysi.
Getur þetta til dæmis verið þegar gögnum er óvart eytt, eða dulkóðunarlykill, sem tengir saman auðkenni einstaklinga og dulkóðaðar upplýsingar, tapast. Annað dæmi er ef upplýsingar, sem leynt skulu fara, eru birtar fyrir mistök.
Persónuverndarlöggjöfin inniheldur reglur um tilkynningar um öryggisbresti en sambærilegar reglur var ekki var að finna í eldri löggjöf.
Sjá nánar í leiðbeiningum Persónuverndar um öryggisbresti.
Hvenær á að upplýsa mig um að öryggisbrestur hafi átt sér stað?
Ekki þarf að upplýsa einstaklinga um alla öryggisbresti.
Ef líklegt er að öryggisbrestur við meðferð persónuupplýsinga hafi í för með sér mikla áhættu fyrir réttindi og frelsi einstaklinga skal ábyrgðaraðili hins vegar tilkynna þér um brotið án ótilhlýðilegrar tafar. Takist að grípa til aðgerða sem bægja frá slíkri áhættu fellur tilkynningarskyldan brott.
Megintilgangurinn með tilkynningarskyldunni er að veita þér upplýsingar um þau úrræði sem þú getur sjálf/sjálfur gripið til þér til verndar, s.s. að setja nýtt lykilorð.
Eftir atvikum kann það að verða talið of íþyngjandi að senda hverjum og einum hinna skráðu tilkynningu um öryggisbrest, einkum ef um mikinn fjölda einstaklinga er að ræða. Skal þá í staðinn birta almenna tilkynningu eða grípa til svipaðrar ráðstöfunar þar sem hinum skráðu er gert viðvart um brestinn með jafnáhrifaríkum hætti.
Hvernig á að hafa samband við mig og hvaða upplýsingar á að veita?
Ábyrgðaraðili á a.m.k. að veita þér þessar upplýsingar:
- lýsingu á eðli öryggisbrestsins,
- nafn og samskiptaupplýsingar persónuverndarfulltrúa eða annars tengiliðar,
- lýsingu á líklegum afleiðingum öryggisbrestsins, og
- lýsingu á þeim ráðstöfunum sem ábyrgðaraðili hefur gert eða fyrirhugar að gera vegna öryggisbrestsins, þar á meðal, þar sem við á, ráðstöfunum til að milda hugsanleg skaðleg áhrif.
Hann ætti einnig að veita þér nákvæmar ráðleggingar um hvernig þú getur varið þig fyrir hugsanlegum skaðlegum áhrifum öryggisbrestsins.
Ábyrgðaraðili skal senda sérstaka tilkynningu til að upplýsa þig um öryggisbrest, t.d. með tölvupósti, smáskilaboðum eða áberandi upplýsingum á vefsíðu. Mælt er með því að ábyrgðaraðili velji aðferð sem auki líkurnar á því að upplýsingarnar komist til þín. Mögulegt er að velja að nota nokkrar aðferðir.
Hvað get ég gert?
Ef lykilorðin þín að reikningum á netinu verða aðgengileg óviðkomandi er mikilvægt að skipta strax um lykilorð. Einnig er mikilvægt að hafa samband við greiðslukortafyrirtæki eða fjármálastofnanir ef kreditkortaupplýsingar eða aðrar bankaupplýsingar eru gerðar aðgengilegar óviðkomandi.
Gruni þig að orðið hafi öryggisbrestur hjá fyrirtæki eða stofnun getur þú sent inn ábendingu þess efnis til Persónuverndar á tölvupóstfangið postur[hjá]personuvernd.is. Hvert og eitt mál er svo skoðað og gripið til viðeigandi aðgerða af hálfu stofnunarinnar í viðkomandi tilvikum.
Einnig er hægt að leggja fram formlega kvörtun hjá Persónuvernd. Þetta á t.a.m. við þegar einstaklingur telur að brotið hafi verið á réttindum sínum, m.a. ef ekki hefur verið gætt nægjanlegs öryggis við vinnslu persónuupplýsinga eða á annan hátt brotið gegn ákvæðum persónuverndarlaga, með þeim afleiðingum að persónuupplýsingar hafi komist til vitundar óviðkomandi aðila.