Fræðsluskylda
Fræðsluskyldan er einn þáttur í ábyrgðarskyldu fyrirtækja og stjórnvalda samkvæmt persónuverndarlögum og felur í sér að framangreindir aðilar veiti einstaklingum rétt til upplýsinga samkvæmt löggjöfinni.
Hvað er upplýsingaréttur?
Fræðsluskyldan er einn þáttur í ábyrgðarskyldu fyrirtækja og stjórnvalda samkvæmt persónuverndarlögum. Hún felur í sér að framangreindir aðilar eiga að veita einstaklingum upplýsingar eða fræðslu um þá vinnslu persónuupplýsinga sem fer fram hjá þeim. Þannig er alla jafna talað um upplýsingarétt einstaklinga og fræðsluskyldu fyrirtækja og stjórnvalda og er þá átt við sama hlutinn.
Hvaða fræðslu á að veita?
Hvað þarf að upplýsa um? | Upplýsinga er aflað frá hinum skráða | Upplýsinga er aflað frá öðrum |
Heiti og samskiptaupplýsingar ábyrgðaraðila og persónuverndarfulltrúa | X | X |
Tilgang vinnslu og heimild til vinnslu | X | X |
Lögmæta hagsmuni (ef vinnsla byggir á þeirri heimild) | X | X |
Tegundir persónuupplýsinga | X | |
Viðtakendur | X | X |
Miðlun til þriðju landa og varúðarráðstafanir | X | X |
Varðveislutíma | X | X |
Upplýsingar um réttindi einstaklinga | X | X |
Afturköllun samþykkis, ef við á | X | X |
Rétt til að leggja fram kvörtun hjá Persónuvernd | X | X |
Hvaðan upplýsingar koma | X | |
Skyldu til að veita upplýsingar skv. lögum eða samningi | X | |
Sjálfvirka ákvarðanatöku | X | X |
Tímamörk | Við söfnun upplýsinga | Í síðasta lagi mánuði eftir að upplýsinga er aflað, þegar fyrst er haft samband eða þegar upplýsingar eru sendar öðrum í fyrsta sinn |
Þessa fræðslu á að veita þegar upplýsinganna er aflað. Ef upplýsinganna er aflað hjá öðrum en hinum skráða, t.d. öðrum fyrirtækjum eða stjórnvöldum, þarf að veita fræðsluna innan mánaðar. Þetta má til að mynda gera í persónuverndarstefnu fyrirtækisins eða stjórnvaldsins sem í hlut á.
Eru undantekingar frá fræðsluskyldunni?
Almennt séð verða fyrirtæki og stjórnvöld að veita einstaklingum fræðslu þegar unnið er með persónuupplýsingar um þá, en í tilteknum tilvikum þurfa þau þess þó ekki. Rétt er þó að taka fram að þessum undantekningum er eingöngu heimilt að beita í þröngt afmörkuðum tilvikum. Þessi tilvik eru:
Þegar upplýsinga er aflað beint hjá hinum skráða þarf ekki að fræða hann ef hann hefur þegar fengið vitneskju um vinnsluna.
Þegar upplýsinga er aflað frá öðrum en hinum skráða er ekki skylt að veita fræðslu ef:
- einstaklingurinn hefur þegar fengið upplýsingarnar og þær eru óbreyttar;
- ekki er hægt að veita upplýsingarnar, eða það kostar óhóflega fyrirhöfn;
- skýrt er mælt fyrir um öflun eða miðlun upplýsinganna;
- persónuupplýsingar eru bundnar trúnaði á grundvelli þagnarskyldu skv. lögum
Af hverju skiptir fræðsluskyldan máli?
Hvers kyns vinnsla persónuupplýsinga á að vera lögmæt,sanngjörn og gagnsæ. Það ætti því að vera einstaklingum ljóst þegar persónuupplýsingum um þá er safnað, þær notaðar, skoðaðar eða unnar á annan hátt og að hvaða marki persónuupplýsingar eru eða munu verða unnar.
Meginreglan um gagnsæi krefst þess að hvers kyns upplýsingar og samskipti, sem tengjast vinnslu þessara persónuupplýsinga, séu auðveldlega aðgengileg og á skýru og einföldu máli. Sú meginregla á einkum við um upplýsingar til skráðra einstaklinga um það hver ábyrgðaraðilinn er og um tilganginn með vinnslunni. Ef við á má veita frekari upplýsingar til að tryggja sanngjarna og gagnsæja vinnslu gagnvart viðkomandi einstaklingum og tryggja að þeim sé kunnugt um rétt sinn og til að fá staðfestingu og tilkynningu um vinnslu á persónuupplýsingum um sig.
Þegar fræðslan er veitt á jafnframt að gera einstaklingum grein fyrir áhættu, reglum, verndarráðstöfunum og réttindum í tengslum við vinnslu persónuupplýsinga. Auk þess á að útskýra hvernig þeir geta neytt réttar síns í tengslum við slíka vinnslu og hvaða aðferðum er beitt við að tryggja öryggi upplýsinganna. Einkum ætti tilgangurinn með vinnslu persónuupplýsinganna að vera skýr og liggja fyrir við söfnun þeirra.
Hvernig á sá sem ber ábyrgð á vinnslu persónuupplýsinga að haga fræðslu?
Hægt er að veita fræðslu á ýmsan hátt. Sérstaklega er hvatt til þess að fyrirtæki og stofnanir nýti sér þá tækni sem fyrir hendi er til að koma upplýsingum á framfæri. Fyrst og fremst er lögð áhersla á að fræðslan skuli vera á gagnorðu, gagnsæju, skiljanlegu og aðgengilegu formi. Í því felst m.a. að forðast setningar eins og „við kunnum að safna upplýsingum um þig í eftirfarandi tilvikum...“
Fræðsla á líka að vera á skýru og einföldu máli og hún þarf að vera aðskilin frá öðrum atriðum, t.d. almennum samningsskilmálum. Þá þarf einnig að gæta þess að tilkynningar um uppfærslur á fræðslu, t.d. í persónuverndarstefnu, sé ekki blandað saman við önnur atriði, t.d. tilboð á vörum, þegar sendur er tölvupóstur.
Þetta er sérstaklega mikilvægt þegar um er að ræða upplýsingar sem beint er sérstaklega til barns.
Upplýsingarnar skulu veittar skriflega eða á annan hátt, þ.m.t.á rafrænu formi. Þá skulu upplýsingarnar veittar hinum skráða að kostnaðarlausu.