Ábyrgðarskyldan
Ábyrgðaraðili ber ábyrgð á því að vinnsla persónuupplýsinga uppfylli ávallt meginreglur persónuverndarlöggjafarinnar og hann skal geta sýnt fram á það.
Hvað felst í ábyrgðarskyldu?
Ein af skyldum persónuverndarlöggjafarinnar er svokölluð ábyrgðarskylda. Í henni felst einkum tvennt. Annars vegar að fyrirtæki, stofnanir, sveitarfélög og aðrir sem bera ábyrgð á vinnslu persónuupplýsinga (ábyrgðaraðilar) þurfa að fara að meginreglum löggjafarinnar og hins vegar þarf ábyrgðaraðilinn að geta sýnt fram á það. Það að þurfa að sýna fram á hvernig farið er að reglunum felur í sér að ábyrgðaraðili þarf að geta sannað það, t.d. með skjölum og verklagsreglum, og að geta sýnt fram á skilvirkni ráðstafana sem hann hefur ákveðið að beita, t.d. með skráningu frávika o.fl.
Í öllum tilvikum þarf að taka mið af eðli, umfangi, samhengi og tilgangi vinnslunnar og áhættunni fyrir réttindi og frelsi einstaklingsins.
Þannig þarf að gera mismunandi ráðstafanir eftir því hvort um er að ræða almennar eða viðkvæmar persónuupplýsingar, hvort unnið er með mikið magn upplýsinga eða lítið, og hvort ætlunin sé að búa til persónusnið eða láta fara fram sjálfvirka ákvarðanatöku, svo dæmi séu nefnd. Þá þarf að hugsa um hvaða áhrif vinnslan hefur á einstaklinginn.
Ef vinnslan til dæmis getur haft áhrif á það hvort einstaklingur fái tiltekna þjónustu eða ekki eru gerðar meiri kröfur um að sýnt sé fram á að farið sé eftir reglum.
Hverjar eru þessar meginreglur sem þarf að fylgja?
Meginreglurnar sex eru oft kallaðar „gullnu reglurnar“ og þær eru taldar upp í persónuverndarlöggjöfinni. Meginreglurnar endurspeglast í mörgum ákvæðum löggjafarinnar, t.d. um réttindi einstaklinga.
Þegar unnið er með persónuupplýsingar þarf alltaf að hafa þessar meginreglur í huga og vinna með upplýsingarnar í samræmi við þær. Reglurnar eru:
- Sanngirnisreglan: að persónuupplýsingar séu unnar með lögmætum, sanngjörnum og gagnsæjum hætti gagnvart einstaklingnum
- Tilgangsreglan: að persónuupplýsingar séu unnar í skýrum, lögmætum og málefnalegum tilgangi og ekki unnar frekar í öðrum og ósamrýmanlegum tilgangi.
- Meðalhófsreglan: að persónuupplýsingar séu nægilegar, viðeigandi og ekki umfram það sem nauðsynlegt er miðað við tilganginn með vinnslu þeirra.
- Áreiðanleikareglan:
að persónuupplýsingar séu áreiðanlegar og uppfærðar eftir þörfum,
.;Óáreiðanlegum eða ófullkomnum persónuupplýsingum skal eyða eða þær leiðréttar án tafar. - Varðveislureglan:
að persónuupplýsingar séu varðveittar í því formi að ekki sé unnt að bera
kennsl á einstaklinga lengur en þörf krefur miðað við tilganginn með vinnslu
þeirra. Heimilt er að geyma persónuupplýsingar lengur að því tilskildu að
vinnsla þeirra þjóni eingöngu skjalavistun í þágu almannahagsmuna, rannsókna á
svið
- Öryggisreglan: að persónuupplýsingar séu unnar með þeim hætti að viðeigandi öryggi þeirra sé tryggt.
Hvernig uppfyllir mitt fyrirtæki eða stofnun ábyrgðarskylduna?
Til að uppfylla ábyrgðarskylduna þarf að skoða hverja meginreglu fyrir sig og meta hvaða kröfur persónuverndarlöggjöfin gerir til þess að þær séu uppfylltar. Þá eru mismunandi heimildir eru fyrir vinnslu almennra persónuupplýsinga og viðkvæmra persónuupplýsinga og því er það líka hluti af því að uppfylla ábyrgðarskylduna að kortleggja á hvaða heimild hver vinnslustarfsemi fyrir sig grundvallast.