Allar spurningar og svör

Einstaklingum er almennt heimilt að andmæla vinnslu um sig sjálfa þegar vinnsla byggist á almannahagsmunum eða lögmætum hagsmunum þess sem vinnur með upplýsingarnar. Má þá ekki vinna upplýsingarnar frekar nema sýnt sé fram á mikilvægar lögmætar ástæður fyrir vinnslunni.

Í persónuverndarlögum er gerður greinarmunur á ábyrgðaraðilum og vinnsluaðilum persónuupplýsinga. Þegar ábyrgðaraðili (sá sem vinnur með upplýsingarnar) notar vinnsluaðila þá er gerð krafa um að þeir geri með sér vinnslusamning.

Ábyrgðaraðili ber ábyrgð á því að vinnsla persónuupplýsinga uppfylli ávallt meginreglur persónuverndarlöggjafarinnar og hann skal geta sýnt fram á það.

Persónuupplýsingar barna njóta sérstakrar verndar, þar sem þau kunna að vera síður meðvituð um áhættu, afleiðingar og réttindi sín í tengslum við vinnslu persónuupplýsinga.

Notkun eftirlitsmyndavéla þarf að hafa skýran og málefnalegan tilgang. Fræðsla gagnvart þeim sem sæta vöktuninni er skilyrði og almennt má ekki varðveita efni lengur en 30 daga.

Erfða- og lífkennaupplýsingar eru upplýsingar sem varða arfgenga eða áunna erfðaeiginleika einstaklings og varpa ljósi á lífeðlisfræði hans eða heilbrigði. Þær fást einkum með greiningu á líffræðilegu sýni frá viðkomandi einstaklingi. Allt eru þetta viðkvæmar persónuupplýsingar sem má eingöngu vinna með í ákveðnum tilfellum, t.d. þegar samþykki liggur fyrir eða vegna verulegra almannahagsmuna, s.s. vegna vísindarannsókna, enda sé persónuvernd tryggð með ákveðnum ráðstöfunum.

Flutningsréttur á við þegar einstaklingur hefur sjálfur afhent ábyrgðaraðila (þeim sem vinnur með upplýsingarnar) persónuupplýsingar um sig á rafrænu formi, nánar tiltekið á skipulegu, algengu, tölvulesanlegu sniði. Í réttinum felst að ábyrgðaraðila ber að verða við ósk einstaklingsins um að fá persónuupplýsingarnar í hendur. Þá felst í réttinum að einstaklingurinn á að geta sent öðrum ábyrgðaraðila upplýsingarnar án þess að fyrri ábyrgðaraðilinn hindri það.

Flutningur persónuupplýsinga úr landi, t.d. í tölvuský, er aðeins heimill ef lög viðtökuríkisins veita persónuupplýsingum fullnægjandi vernd.

Forystustjórnvald sé sú persónuverndarstofnun sem ber höfuðábyrgð á meðferð máls sem varðar vinnslu persónuupplýsinga yfir landamæri. Eingöngu þarf að ákvarða forystustjórnvald þegar ábyrgðaraðili (sá sem vinnur með upplýsingarnar) stundar vinnslu yfir landamæri.

Fræðsluskyldan er einn þáttur í ábyrgðarskyldu fyrirtækja og stjórnvalda samkvæmt persónuverndarlögum og felur í sér að framangreindir aðilar veiti einstaklingum rétt til upplýsinga samkvæmt löggjöfinni.

Hátternisreglur eiga að endurspegla þarfir mismunandi atvinnugeira og fyrirtækja. Samtök, sem koma fram fyrir hönd ákveðinna atvinnugreina eða –geira, geta samið slíkar reglur til þess að styrkja fyrirtæki, á hagkvæman hátt, til að laga starfsemi sína að persónuverndarreglugerðinni.

Ef hljóðupptaka er viðvarandi eða endurtekin reglulega og felur í sér einhvers konar eftirlit með einstaklingum eða fjarstýrðum eða sjálfvirkum búnaði telst hún vera rafræn vöktun.

Persónuupplýsingar eru allar upplýsingar sem hægt er að tengja við einstakling, t.d. nafn, kennitala, staðsetningargögn, ljósmynd o.s.frv.

Notkun kennitölu er heimil ef hún á sér málefnalegan tilgang og er nauðsynleg til að tryggja örugga persónugreiningu. 

Sá sem vinnur með persónuupplýsingarnar, ábyrgðaraðilinn, þarf að geta sýnt fram á að einstaklingur hafi samþykkt vinnslu persónuupplýsinga um sig. 

Öll vinnsla persónuupplýsinga verður að byggjast á heimild í persónuverndarlögum. Það fer eftir tilgangi vinnslunnar hvaða heimild getur átt við í hvert sinn. Engin ein heimild er rétthærri, mikilvægari eða betri en önnur.

Til þess að vinnsla persónuupplýsinga sé lögmæt þarf hún jafnframt að vera í samræmi við meginreglur persónuverndarlaganna. 

Sá sem vinnur viðkvæmar persónuupplýsingar þarf að ákveða fyrirfram við hvaða heimild vinnslan styðst.

Innbyggð og sjálfgefin persónuvernd tekur til þeirra ráðstafana sem eru innbyggðar í hugbúnað, hannaðar til að fylgja meginreglum persónuverndar og að sjálfgefið sé að eingöngu nauðsynlegar upplýsingar séu unnar. 

Einstaklingar eiga rétt á því að óáreiðanlegar persónuupplýsingar um þá séu leiðréttar án tafar. Þá eiga einstaklingar einnig rétt á að persónuupplýsingum þeirra sé eytt í ákveðnum tilvikum.

Fyrirtæki geta haft lögmæta hagsmuni af beinni markaðssetningu en einstaklingar geta andmælt því að fá markpóst eða símtöl.

Í ákveðnum tilvikum getur þurft að framkvæma sérstakt mat á áhrifum á persónuvernd (MÁP) áður en vinnsla persónuupplýsinga hefst. Niðurstaða matsins getur orðið til þess að ábyrgðaraðilinn þurfi enn fremur að óska leiðbeininga frá Persónuvernd áður en vinnslan getur hafist.

Meginreglurnar sex eru oft kallaðar „gullnu reglurnar“ og þær eru taldar upp í persónuverndarlöggjöfinni. Meginreglurnar endurspeglast í mörgum ákvæðum löggjafarinnar, t.d. um réttindi einstaklinga.

Við skráningu persónuupplýsinga félagsmanna hjá stjórnmálasamtökum verður að liggja skýrt fyrir hver tilgangur skráningar er og hvernig upplýsingarnar verða notaðar. Sem dæmi verður við skráningu netfanga að liggja fyrir hvort þau verða notuð til að senda félagsmönnum tölvupóst eða hvort nota eigi netföngin til að ná til þeirra á samfélagsmiðlum. Auk þess þarf að vera skýrt hver eða hverjir mega nota persónuupplýsingarnar. 

Skráning vinnuveitanda á persónuupplýsingum um starfsmenn getur talist eðlilegur þáttur í starfsemi hans. Hann þarf hins vegar að gæta að persónuverndarsjónarmiðum í hvívetna.

Persónuverndarfulltrúi á að vera til staðar hjá öllum stofnunum, ráðuneytum og sveitarfélögum og ákveðnum fyrirtækjum. Hann hefur það hlutverk að fylgjast með því að fyrirtæki og stofnanir fari að persónuverndarlögum.

Í rafrænum heimi er hægt að auðkenna sig með rafrænum skilríkjum og það jafngildir því að framvísa persónuskilríkjum. 

Hvað er gott að hafa í huga þegar velja skal skýjaþjónustuaðila? 

Gæta þarf að persónuverndarreglum þegar skoða þarf vinnupóst starfsmanna. Almennt er óheimilt að skoða einkatölvupóst starfsmanna nema brýna nauðsyn beri til.

Persónuvernd leggur mikla áherslu á að persónuupplýsingar séu ekki vistaðar í tölvuskýjum nema að undangengnu ítarlegu áhættumati. Mikilvægt er að meta hvort flutningur úr landi, ef tölvuský er vistað erlendis, sé heimill, sem og hvaða tegundir upplýsinga sé ástættanlegt að flytja í skýið og þá hvers konar ský.

Undirskriftasafnanir geta falið í sér vinnslu persónuupplýsinga sem falla undir persónuverndarlögin. 

Persónuvernd er eftirlitsstjórnvald og hefur eftirlit með framkvæmd persónuverndarlaga, almennu persónuverndarreglugerðarinnar, sérákvæða í lögum sem fjalla um vinnslu persónuupplýsinga og annarra reglna um efnið. 

Varðveisla og eyðing gagna er vinnsla persónuupplýsinga og því taka persónuverndarlögin sérstaklega á þeim þáttum.  

Vefkaka er lítil textaskrá, sem er vistuð á tölvu, eða í öðru snjalltæki þegar notandi heimsækir vefsíðu í fyrsta sinn. Þegar notast er við vefkökur á vefsvæði þarf að fræða notendur síðunnar um að vinnsla persónuupplýsinga fari fram um þá með notkun vefkaka og í hvaða tilgangi.

Með miðlun upplýsinga um þjónustu- og viðgerðarsögu bifreiða getur átt sér stað vinnsla persónuupplýsinga sem þarf að styðjast við heimild í persónuverndarlögum.

Á vinnustöðum getur verið nauðsynlegt að skrá niður lágmarksupplýsingar í tengslum við útbreiðslu COVID-19 veirunnar, í þeim tilgangi að hefta útbreiðslu hennar og til að tryggja öryggi og heilbrigði á vinnustað. Atvinnurekendur þurfa að gæta þess að vinnslan sé í samræmi við persónuverndarlög.

Stjórnvöld þurfa eins og aðrir að hafa heimild samkvæmt persónuverndarlögum til að mega vinna með persónuupplýsingar og fara að meginreglum laganna um hvernig megi vinna persónuupplýsingar.

Þegar ábyrgðaraðili semur við vinnsluaðila til að vinna persónuupplýsingar fyrir sig, þarf hann gera við hann vinnslusamning.

Nánast öllum sem vinna með persónuupplýsingar er skylt að halda skrá yfir vinnslustarfsemi eða vinnsluskrá. Vinnsluskráin er mikilvægt tæki til að uppfylla ábyrgðarskylduna.

Vísindarannsóknir eru rannsóknir á sjúkdómum, greiningu þeirra og erfðum sjúkdóma sem fyrirhugað er að gera á einstaklingum. Auk þess falla tilraunir með með ný lyf eða nýjar aðferðir til að greina sjúkdóma, lækna þá eða lina þjáningar til vísindarannsókna. Persónuvernd veitir umsögn til vísindasiðanefndar vegna umsókna um vísindarannsóknir og fyrirmæli um vinnslu persónuupplýsinga.

Veita má vottun til þeirra sem vinna með persónuupplýsingar ef sýnt er fram á að vinnsla þeirra samrýmist persónuverndarlögum.

Þeir sem vinna með persónuupplýsingar þurfa að huga að þagnar- og trúnaðarskyldu sem á þeim getur hvílt. Þagnarskyldan takmarkar þó ekki valdheimildir Persónuverndar varðandi aðgang að húsnæði og tækjabúnaði.

Þeir sem sæta vöktun með slíkum búnaði eiga ávallt rétt á fræðslu um tilgang, nauðsyn og réttindi einstaklingsins.

Ein meginskylda þeirra sem vinna með persónuupplýsingar er að tryggja öryggi þeirra.

Öryggisbrestur felur í sér brest á öryggi sem leiðir til óviljandi eða ólögmætrar eyðingar persónuupplýsinga, sem eru sendar, varðveittar eða unnar á annan hátt, eða að þær glatist, breytist, verði birtar eða aðgangur veittur að þeim í leyfisleysi. Ábyrgðaraðili þarf að tilkynna Persónuvernd innan 72 klst. um öryggisbrest sem hefur áhrif á einstaklinga.