Aðgangsréttur
Einstaklingar eiga rétt á að fá upplýsingar um það hvort verið sé að vinna með persónuupplýsingar þeirra. Vinnsla persónuupplýsinga getur meðal annars falist í söfnun þeirra, notkun og varðveislu.
Hvað er aðgangsréttur?
Einstaklingar eiga rétt á að fá upplýsingar um það hvort verið sé að vinna með persónuupplýsingar um þá. Vinnsla persónuupplýsinga getur meðal annars falist í söfnun þeirra, notkun og varðveislu.
Þessi réttur nefnist rétturinn til aðgangs, eða aðgangsréttur. Í honum felst réttur til þess að fá:
staðfestingu á því að unnið sé með persónuupplýsingarnar einstaklings,
- afrit af þeim persónuupplýsingum um þig sem unnið er með, og
- aðrar upplýsingar um vinnsluna.
Með öðrum upplýsingum um vinnsluna er átt við upplýsingar um:
a. tilgang vinnslunnar,
b. hvaða flokka persónuupplýsinga unnið er með,
c. hverjir eru viðtakendur upplýsinganna eða flokkar þeirra,
d. hversu lengi á að varðveita persónuupplýsingarnar eða þær viðmiðanir sem notaðar eru til að ákveða það,
e. rétt að fara fram á leiðréttingu; eyðingu eða takmörkun vinnslu persónuupplýsinganna, eða til að andmæla slíkri vinnslu,
f. rétt til að leggja fram kvörtun hjá eftirlitsyfirvaldi (Persónuvernd),
g. alla vitneskju um uppruna upplýsinganna ef þær eru frá öðrum en einstaklingnum sjálfum,
h. hvort fram fari sjálfvirk ákvarðanataka (sem dæmi um slíkt er þegar t.d. tölva sér um að reikna út hvort viðkomandi geti tekið lán í banka). Þegar ákvörðun er tekin sjálfvirk eiga einstaklingar rétt á að vita hvaða upplýsingar liggja að baki þeirri ákvarðanatöku, og um leið hversu áreiðanlegar þær eru. Hvort upplýsingarnar séu notaðar til að búa til persónusnið (e. profiling) um einstaklinginn sem um ræðir, m.ö.o. hvort mismunandi upplýsingum um hann er safnað saman til að setja hann í hóp með fólki sem er með svipaða eiginleika eða lífsstíl. Þetta er til að mynda gert til að spá fyrir um heilsufar eða áhugamál.
i. hvaða áhrif þessi vinnsla persónuupplýsinga hefur á hann.
Hvernig er aðgangsrétturinn nýttur?
Einstaklingar geta sent viðkomandi fyrirtæki eða stjórnvaldi beiðni um aðgang að persónuupplýsingum. Ef beiðninni er komið á framfæri munnlega er þó mælt með því að fylgja henni eftir skriflega, til dæmis með því að senda tölvupóst. Ástæða þessa er sú að það einfaldar ferlið ef það þarf síðar að rekja um hvað var beðið og hvenær. Þá má benda á að sum fyrirtæki og stjórnvöld bjóða upp á stöðluð eyðublöð eða sérstakar réttindagáttir fyrir aðgangsbeiðnir, sem hægt er að nota. Ekki er þó skylt að nota slík eyðublöð eða gáttir þótt þau séu til.
Eins og áður kom fram er aðgangsrétturinn þríþættur, en í honum felst nánar tiltekið
- réttur til að fá staðfestingu á því að unnið sé með persónuupplýsingarnar;
- réttur til að fá afrit af þeim persónuupplýsingum sem unnið er með; og
- réttur til að fá aðrar upplýsingar um vinnsluna.
Hægt er að nýta aðgangsréttinn að öllu leyti eða að hluta, eftir því sem óskað er hverju sinni. Til að mynda kann það að henta vel í einhverjum tilvikum að óska eftir upplýsingum um vinnsluna áður en tekin er ákvörðun um að óska eftir afriti af persónuupplýsingunum.
Beiðni um aðgang ættu almennt að fylgja eftirfarandi upplýsingar:
- Nafn og tengiliðaupplýsingar (svo sem netfang, símanúmer, heimilisfang)
- Upplýsingar sem fyrirtækið/stjórnvaldið notar til þess að greina á milli þess sem sendir beiðnina og annarra einstaklinga sem bera sama nafn, ef um slíkt er að ræða (þetta geta til dæmis verið bankanúmer eða kennitala),
- Aðrar upplýsingar sem geta komið að gagni við afgreiðslu beiðninnar (til dæmis upplýsingar um dagsetningar eða tímabil sem aðgangsbeiðnin tekur til).
Sem dæmi má nefna að í aðgangsbeiðni mætti tilgreina að óskað sé eftir upplýsingum um tölvupóstsamskipti milli nánar tilgreindra einstaklinga á ákveðnu tímabili, eða upptökum úr eftirlitsmyndavél á nánar tilgreindum stað og frá tilteknum degi.
Hversu langan tíma tekur að afgreiða aðgangsbeiðni?
Aðgangsbeiðnum á að svara eins fljótt og auðið er eða innan mánaðar frá því að beiðnin barst fyrirtækinu/stjórnvaldinu.
Þennan frest má þó lengja um tvo mánuði til viðbótar ef þörf er á, allt eftir umfangi beiðnarinnar. Ef þessi heimild til framlengingar er nýtt ber fyrirtækinu/stjórnvaldinu að tilkynna einstaklingnum um það innan mánaðar frá því að beiðnin barst, og greina jafnframt frá ástæðum fyrir töfinni.
Ef ekki er orðið við aðgangsbeiðninni skal fyrirtækið/stjórnvaldið, í síðasta lagi innan mánaðar frá viðtöku beiðninnar, tilkynna einstaklingnum um ástæðurnar fyrir því að það var ekki gert og um möguleikann á að leggja fram kvörtun hjá Persónuvernd.
Þegar beiðni um aðgang að persónuupplýsingum er beint að fjárhagsupplýsingastofu getur í sumum tilvikum verið skylt að veita svar innan tveggja vikna.
Er hægt að óska eftir aðgangi að persónuupplýsingum sínum oftar en einu sinni?
Hægt er að óska eftir aðgangi að persónuupplýsingum sínum oftar en einu sinni. Í vissum tilvikum getur fyrirtækið eða stjórnvaldið neitað að verða við beiðninni. Það á t.d. við þegar beiðnin er augljóslega tilefnislaus eða óhófleg, einkum vegna endurtekningar. Í þeim tilfellum er heimilt að setja upp sanngjarnt gjald með tilliti til stjórnsýslukostnaðar við upplýsingagjöfina.
Þegar einstaklingur óskar eftur aðgangi að persónuupplýsingum, sem áður hefur verið veittur aðgangur að, getur verið gott að líta til eftirfarandi atriða:
- hversu líklegt er að upplýsingarnar hafi tekið breytingum frá því að aðgangur var síðast veittur,
- hvort nægur tími er liðinn síðan aðgangur var síðast veittur til þess að það geti talist ásættanlegt að óska eftir nýjum upplýsingum um vinnslu persónuupplýsinganna,
- hvort fyrirtækið eða stjórnvaldið hafi nýlega gert breytingar á starfsemi sinni, sem viðkoma vinnslu persónuupplýsinga.
Ágreiningur um afgreiðslu á aðgangsbeiðni
Ef einstaklingur er ósátt/ósáttur við það hvernig fyrirtæki eða stjórnvald hefur brugðist við beiðni um aðgang, og frekari samskipti við fyrirtækið eða stjórnvaldið hafa engar úrbætur í för með sér, getur hann sent Persónuvernd formlega kvörtun. Kvörtunareyðublað, ásamt upplýsingum um kvörtunarferlið, má nálgast undir flipanum „Hafa samband" hér efst á vefsíðunni.
Einnig er öllum frjálst að bera ágreining af þessu tagi undir dómstóla.
Getur fyrirtæki eða stjórnvald krafist viðbótarupplýsinga áður en beiðni um aðgang er afgreidd?
Það fyrirtæki eða stjórnvald, sem aðgangsbeiðninni er beint að, getur í einhverjum tilvikum þurft að óska eftir viðbótarupplýsingum til að afgreiða aðgangsbeiðnir. Þetta getur til dæmis verið nauðsynlegt til þess að hægt sé að finna þær persónuupplýsingar sem um ræðir.
Þarf að sýna skilríki til þess að fá aðgang að persónuupplýsingum?
Ef verulegur vafi leikur á því hver sá einstaklingur er, sem óskar eftir aðgangi að persónuupplýsingum, er hægt að fara fram á viðbótarupplýsingar til að staðfesta deili á honum. Fyrirtæki og stjórnvöld þurfa þó ávallt að hafa meginreglu persónuverndarlaganna um meðalhóf í huga og biðja ekki um ítarlegri upplýsingar en þörf er á í framangreindum tilgangi.
Sé viðbótarupplýsinga þörf, sbr. framangreint, er æskilegt að óskað sé eftir þeim sem fyrst.
Hvernig á að veita aðgang að persónuupplýsingunum?
Fyrirtæki eða stjórnvald, sem fær beiðni frá einstaklingi um aðgang að persónuupplýsingum sínum, á að láta í té afrit af þeim persónuupplýsingum sem unnið er með. Ef aðgangsbeiðnin er sett fram rafrænt skulu upplýsingarnar látnar í té með rafrænu sniði sem almennt er notað, nema einstaklingurinn fari fram á annað.
Einstaklingurinn getur hins vegar óskað eftir öðrum afhendingarmáta, svo sem að fá gögn afhent á pappírsformi eða að upplýsingar séu veittar munnlega, þegar slíkt er mögulegt.
Hvenær má neita beiðni um aðgang?
Réttur einstaklings til aðgangs að persónuupplýsingum sínum gildir ekki ef brýnir hagsmunir einstaklinga tengdir upplýsingunum, þar á meðal hans eigin, vega þyngra. Meta verður í hverju tilviki fyrir sig hvort þessi undanþága eigi við.
Þetta þýðir meðal annars að ef umbeðnar persónuupplýsingar innihalda einnig persónuupplýsingar um aðra einstaklinga þarf að meta í hverju tilviki fyrir sig hvort veita á aðgang að þeim eða ekki. Matið ræðst af því hvorir hagsmunirnir vegi þyngra. Í þessu samhengi getur eðli persónuupplýsinganna skipt máli, sem og það hvort upplýsingarnar eru háðar trúnaði eða þagnarskyldu. Rétt er að benda á að aðrir einstaklingar, sem upplýsingarnar taka til, geta í einhverjum tilvikum samþykkt að aðgangur sé veittur að þeim. Það er hins vegar ekki alltaf nauðsynlegt og ræðst það fyrst og fremst af heildarmati á aðstæðum í hverju tilviki hvort veita má aðgang að persónuupplýsingum við þessar aðstæður.
Heimilt er að neita að verða við beiðni um aðgang að persónuupplýsingum ef hún er augljóslega tilefnislaus eða óhófleg, einkum vegna endurtekningar. Við þær aðstæður er jafnframt heimilt að setja upp sanngjarnt gjald með tilliti til stjórnsýslukostnaðar við upplýsingagjöfina, tilkynningarnar eða aðgerðirnar sem farið er fram á.
Ef ákveðið er að nýta framangreinda heimild er það hlutverk fyrirtækisins eða stjórnvaldsins að sýna fram á að beiðnin sé tilefnislaus eða óhófleg.
Þá gildir reglan um aðgangsrétt hins skráða ekki þegar vinnsla persónuupplýsinga fer aðeins fram
- í þágu vísinda eða sagnfræði eða í tölfræðilegum tilgangi,
- vegna skjalavistunar í þágu almannahagsmuna, að svo miklu leyti sem telja má að þessi réttindi geri það ómögulegt eða
- hamli því verulega að unnt sé að ná viðkomandi markmiðum.
Heimilt er að takmarka aðgangsréttinn þegar um er að ræða:
- þjóðaröryggi;
- landvarnir;
- almannaöryggi;
- það að koma í veg fyrir, rannsaka, koma upp um eða saksækja fyrir refsiverð brot eða fullnægja refsiviðurlögum, þ.m.t. að vernda gegn og koma í veg fyrir ógnir við almannaöryggi;
- önnur mikilvæg markmið sem þjóna almannahagsmunum, einkum efnahagslegum eða fjárhagslegum, þ.m.t. vegna gjaldeyrismála, fjárlaga og skattamála, lýðheilsu og almannatrygginga;
- vernd skráðs einstaklings, brýnna almannahagsmuna eða grundvallarréttinda annarra;
- það að einkaréttarlegum kröfum sé fullnægt;
- lagaákvæði um þagnarskyldu.
Þá er heimilt að takmarka aðgang að persónuupplýsingum í vinnuskjölum sem notuð eru við undirbúning ákvarðana hjá viðkomandi fyrirtæki eða stjórnvaldi, og hefur ekki verið dreift til annarra, að því marki sem nauðsynlegt er til að tryggja undirbúning málsmeðferðar.
Upplýsingar í málum sem eru til meðferðar hjá stjórnvöldum má undanþiggja réttinum til aðgangs að sama marki og gildir um undantekningar á upplýsingarétti samkvæmt upplýsingalögum og stjórnsýslulögum.
Má krefjast greiðslu fyrir aðgang að persónuupplýsingum?
Almenna reglan er sú að aðgangur einstaklinga að persónuupplýsingum sínum er gjaldfrjáls.
Undantekning er gerð frá þessu þegar farið er fram á að afhent verði fleiri en eitt afrit af þeim persónuupplýsingum sem unnið er með. Við þær aðstæður er heimilt að innheimta sanngjarnt gjald, byggt á umsýslukostnaði.
Þá skal á það bent að ef beiðni um aðgang er augljóslega tilefnislaus eða óhófleg, einkum vegna endurtekningar, er ábyrgðaraðila heimilt að setja upp sanngjarnt gjald með tilliti til stjórnsýslukostnaðar við upplýsingagjöfina, eða að neita að verða við beiðninni.
Hafa ber í huga við túlkun þessara reglna að meginreglan er sú að aðgangsrétturinn skal vera án endurgjalds. Undantekningar frá þeirri meginreglu ber því að túlka þröngt.