Allar spurningar og svör

Viðkvæmar persónuupplýsingar - hvenær má vinna með þær?

Sá sem vinnur viðkvæmar persónuupplýsingar þarf að ákveða fyrirfram við hvaða heimild vinnslan styðst.

Meginreglan er einföld. Það er að óheimilt er að vinna viðkvæmar persónuupplýsingar um þig nema að hafa til þess heimild í persónuverndarlögunum.

Viðkvæmar persónuupplýsingar eru upplýsingar sem varða:

  • Kynþátt
  • Þjóðernislegan uppruna
  • Stjórnmálaskoðanir
  • Trúarbrögð eða lífsskoðun
  • Aðild að stéttarfélagi
  • Heilsufarsupplýsingar
  • Upplýsingar um kynlíf manna og kynhneigð
  • Erfðafræðilegar upplýsingar
  • Lífkennaupplýsingar, þ.e. upplýsingar sem fást með sérstakri tæknivinnslu og tengjast líkamlegum, lífeðlisfræðilegum eða atferlisfræðilegum eiginleikum einstaklings, t.d. andlitsmyndir eða gögn um fingraför, enda sé unnið með upplýsingarnar til að persónugreina einstaklinga með einkvæmum hætti.

Til þess að heimilt sé að vinna viðkvæmar persónuupplýsingar þarf vinnslan að byggja á einhverri af þeim sex heimildum sem sjá má í svari við spurningunni „Hvenær má vinna með persónuupplýsingar?

og

uppfylla að minnsta kosti eitthvert eitt eftirfarandi skilyrða:

  1. Þú veitir afdráttarlaust samþykki þitt fyrir vinnslunni í þágu eins eða fleiri tiltekinna markmiða. Samþykkið þarf að vera óþvinguð, sértæk, upplýst og ótvíræð viljayfirlýsing þín um að þú samþykkir vinnslu tiltekinna persónuupplýsinga í ákveðnum tilgangi. Ítarlegri upplýsingar um þær reglur sem gilda um samþykki má finna í svari við spurningunni Hvaða reglur gilda um samþykki fyrir vinnslu persónuupplýsinga?
  2. Vinnslan er nauðsynleg til þess að þú eða sá sem ákveður vinnsluna (ábyrgðaraðili) geti staðið við skuldbindingar sínar og nýtt sér tiltekin réttindi samkvæmt vinnulöggjöf eða löggjöf um almannatryggingar eða félagslega vernd.
  3. Vinnslan er nauðsynleg til að verja verulega hagsmuni þína eða annars einstaklings sem ekki er sjálfur fær um að gefa samþykki sitt. Ekki er þá nóg að vísa til þess að viðkomandi einstaklingur sé erlendis eða vant við látinn heldur þarf hann að vera líkamlega ófær eða óhæfur samkvæmt lögum til að veita samþykki sitt.
  4. Vinnslan fer fram sem liður í lögmætri starfsemi stofnunar, samtaka eða annars aðila sem starfar ekki í hagnaðarskyni og hefur stjórnmálaleg, heimspekileg, trúarleg eða stéttarfélagsleg markmið. Ekki má þá afhenda öðrum persónuupplýsingarnar þínar án þíns samþykkis.
  5. Vinnslan tekur einungis til upplýsinga sem þú hefur augljóslega sjálf/sjálfur gert opinberar.
  6. Vinnslan er nauðsynleg til að unnt sé að stofna, hafa uppi eða verja réttarkröfur.
  7. Vinnslan er nauðsynleg af ástæðum sem varða verulega almannahagsmuni og fyrir henni er sérstök lagaheimild.
  8. Vinnslan er nauðsynleg til að unnt sé að fyrirbyggja sjúkdóma eða vegna atvinnulækninga, til að meta vinnufærni starfsmanns, greina sjúkdóma og láta í té umönnun eða meðferð á sviði heilbrigðis- eða félagsþjónustu, enda er hún framkvæmd af starfsmanni slíkrar þjónustu sem bundinn er þagnarskyldu.
  9. Vinnslan er nauðsynleg af ástæðum sem varða almannahagsmuni á sviði lýðheilsu, svo sem til að verjast alvarlegum heilsufarsógnum sem ná yfir landamæri eða tryggja gæði og öryggi heilbrigðisþjónustu og lyfja eða lækningatækja.
  10. Vinnslan er nauðsynleg vegna tölfræði-, sagnfræði- eða vísindarannsókna, enda er persónuvernd tryggð með tilteknum ráðstöfunum eftir því sem við á í samræmi við lög um persónuvernd og vinnslu persónuupplýsinga.
  11. Vinnslan er nauðsynleg vegna skjalavistunar í þágu almannahagsmuna og fer fram á grundvelli laga sem kveða á um viðeigandi og sértækar ráðstafanir til að vernda grundvallarréttindi og hagsmuni þína, einkum þagnarskyldu.

Þú getur leitað til Persónuverndar ef uppi er vafi um hvort tilteknar persónuupplýsingar séu viðkvæmar eða ekki og leysir stofnunin þá úr ágreiningi þar um.

Aðrar reglur um vinnslu viðkvæmra persónuupplýsinga

Sá sem vinnur viðkvæmar persónuupplýsingar þarf að ákveða fyrirfram við hvaða heimild vinnslan styðst.

Þú átt rétt á að fá að vita í hvaða tilgangi verið er að vinna viðkvæmar persónuupplýsingar um þig og á grundvelli hvers af framangreindum skilyrðum, óskir þú eftir upplýsingum um slíkt.

Hvaða reglur gilda um vinnslu persónuupplýsinga um refsiverða háttsemi?

Stjórnvöld mega ekki vinna með upplýsingar um refsiverða háttsemi nema það sé nauðsynlegt vegna lögbundinna verkefna þeirra. Þá mega stjórnvöld ekki miðla upplýsingum um refsiverða háttsemi nema að uppfylltu að minnsta kosti einu af eftirtöldum skilyrðum:

  1. Þú hefur gefið afdráttarlaust samþykki þitt fyrir því.
  2. Miðlunin er nauðsynleg í þágu lögmætra hagsmuna hins opinbera eða einkaaðila sem auðsjáanlega vega þyngra en hagsmunir af leynd um upplýsingarnar, þ. á m. hagsmunir þínir af því að upplýsingarnar fari leynt.
  3. Miðlunin er nauðsynleg í þágu lögbundinna verkefna viðkomandi stjórnvalds eða til að unnt sé að taka stjórnvaldsákvörðun.
  4. Miðlunin er nauðsynleg vegna verkefnis í þágu hins opinbera sem einkaaðila hefur verið falið á lögmætan hátt.

Einkaaðilar mega ekki vinna með upplýsingar um refsiverða háttsemi nema þú hafir veitt til þess ótvírætt samþykki þitt eða vinnslan sé nauðsynleg í þágu lögmætra hagsmuna sem auðsjáanlega vega þyngra en einkalífsréttur þinn.

Öll vinnsla upplýsinga um refsiverða háttsemi þarf jafnframt að byggja á einni af hinum sex heimildum fyrir vinnslu almennra persónuupplýsinga sem sjá má í svari við spurningunni „Hvenær má vinna með persónuupplýsingar?



Var efnið hjálplegt? Nei