Hátternisreglur
Hátternisreglur eiga að endurspegla þarfir mismunandi atvinnugeira og fyrirtækja. Samtök, sem koma fram fyrir hönd ákveðinna atvinnugreina eða –geira, geta samið slíkar reglur til þess að styrkja fyrirtæki, á hagkvæman hátt, til að laga starfsemi sína að persónuverndarreglugerðinni.
Hvers vegna hátternisreglur?
Í persónuverndarreglugerðinni er mælt með því að nota samþykktar hátternisreglur til þess að stuðla að því að reglugerðinni sé beitt með réttum hætti.
Hátternisreglur eiga að endurspegla þarfir mismunandi atvinnugeira og fyrirtækja. Samtök, sem koma fram fyrir hönd ákveðinna atvinnugreina eða –geira, geta samið slíkar reglur til þess að styrkja fyrirtæki, á hagkvæman hátt, til að laga starfsemi sína að persónuverndarreglugerðinni.
Fyrirtækjum er valfrjálst að innleiða hátternisreglur. Innleiðing hátternisreglna samkvæmt persónuverndarlögum getur hjálpað til við að laga starfsemi fyrirtækisins að lögunum og sýna fram á að fyrirtækið fari að þeim.
Hverjir útbúa hátternisreglur?
Samtök og aðrir þeir aðilar, sem koma fram fyrir hönd tiltekinna atvinnugreina eða atvinnugeira, geta útbúið hátternisreglur að höfðu samráði við hagsmunaaðila, þar á meðal almenning, þegar við á. Þau geta jafnframt gert breytingar á eldri reglum í því skyni að laga þær að persónuverndarreglugerðinni. Leggja þarf drög að hátternisreglum fyrir Persónuvernd til samþykktar. Persónuvernd gefur álit sitt á því hvort drögin samrýmist persónuverndarreglugerðinni og samþykkir þau ef hún telur að með þeim séu tryggðar nægilegar og viðeigandi verndarráðstafanir.
Ef hátternisreglurnar taka til vinnslu persónuupplýsinga í öðrum ríkjum innan EES mun Persónuvernd leggja þær fyrir Evrópska persónuverndarráðið. Álit ráðsins á reglunum er í kjölfarið lagt fyrir framkvæmdastjórn Evrópusambandsins, sem getur ákveðið hvort hátternisreglurnar teljist fullgildar í öllum ríkjum innan EES.
Hvað ættu hátternisreglur að innihalda?
Hátternisreglur geta verið gagnlegar til að hjálpa fyrirtækjum að fara að persónuverndarlögunum. Í þeim er hægt að fjalla um málefni á borð við:
- sanngjarna og gagnsæja vinnslu,
- lögmæta hagsmuni ábyrgðaraðila í tilteknu samhengi,
- söfnun persónuupplýsinga,
- notkun gerviauðkenna við vinnslu persónuupplýsinga,
- upplýsingagjöf gagnvart almenningi og skráðum einstaklingum,
- hvernig einstaklingum er gert kleift að nýta réttindi sín samkvæmt persónuverndarlöggjöfinni,
- upplýsingagjöf gagnvart börnum og þá vernd sem þeim er veitt, þar á meðal hvernig afla beri samþykkis forsjáraðila þegar þess þarf,
- tæknilegar og skipulegar ráðstafanir til að tryggja lögmæti vinnslu, þ. á m. innbyggða og sjálfgefna persónuvernd og öryggisráðstafanir.
- tilkynningar um öryggisbresti við meðferð persónuupplýsinga,
- miðlun persónuupplýsinga til þriðju landa eða alþjóðastofnana,
- málsmeðferð utan dómstóla og aðra málsmeðferð við lausn deilumála til að leysa deilur er varða vinnslu milli ábyrgðaraðila og skráðra einstaklinga, sbr. þó réttindi hinna skráðu skv. 77. og 79. gr. pvrg.
Hver er tilgangur þess að innleiða hátternisreglur í starfsemi fyrirtækis?
Innleiðing hátternisreglna í starfsemi fyrirtækis getur hjálpað fyrirtækinu að:
- sýna meira gagnsæi og ábyrgð, en það getur gert öðrum fyrirtækjum og einstaklingum kleift að átta sig betur á því hvort vinnsla persónuupplýsinga stenst kröfur persónuverndarreglugerðarinnar, og þá jafnframt hjálpað þeim að meta hvort rétt sé að treysta fyrirtækinu fyrir persónuupplýsingum.
- skapa sér samkeppnisforskot.
- gera skilvirkar varúðarráðstafanir til þess að draga úr áhættu tengdri vinnslu persónuupplýsinga og grundvallarréttindum og frelsi hinna skráðu einstaklinga.
- útbúa ferla í tengslum við tilteknar aðgerðir samkvæmt persónuverndarlögunum, svo sem flutning persónuupplýsinga til annarra landa.
- setja sér markmið og kröfur um góða starfshætti.
- draga úr líkum á þvingunaraðgerðum gagnvart fyrirtækinu.
- sýna fram á að fyrirtækið hafi gert viðeigandi varúðarráðstafanir í tengslum við flutning persónuupplýsinga út fyrir EES-svæðið.
Að lokum má nefna að eitt af þeim atriðum sem hafa áhrif á ákvörðun um stjórnvaldssekt, skv. 47. gr. laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga, er fylgni við viðurkenndar hátternisreglur.
Hvernig er eftirliti háttað?
Eftirlit með því að hátternisreglum sé fylgt skal vera í höndum aðila sem hefur viðeigandi sérþekkingu á viðfangsefni reglnanna og hefur fengið faggildingu í þeim tilgangi frá lögbæru eftirlitsyfirvaldi. Nánar er fjallað um eftirlit með samþykktum hátternisreglum og faggildingu til að hafa eftirlit með því að þeim sé fylgt í 41. gr. persónuverndarreglugerðarinnar.
Þegar hátternisreglur hafa verið samþykktar verður hægt að sjá hvaða fyrirtæki eiga aðild að þeim/hafa innleitt þær í skrá Persónuverndar yfir samþykktar hátternisreglur og eftir atvikum í skrá Evrópska persónuverndarráðsins. Báðar skrárnar verða opinberar.
Þegar fyrirtæki hefur innleitt hátternisreglur í starfsemi sinni þarf það að geta sýnt eftirlitsaðila reglnanna fram á að þær kröfur, sem gerðar eru í reglunum, séu uppfylltar. Þessar kröfur endurspegla þá starfsemi sem um ræðir.
Reglulegt eftirlit er með því hvort hátternisreglum er fylgt í starfseminni. Tilgangur þess er að reglunum, og aðild fyrirtækja að þeim, megi treysta. Ef fyrirtækið uppfyllir ekki lengur þær kröfur sem gerðar eru í reglunum er hægt að afturkalla aðild þess að þeim. Eftirlitsaðili reglnanna sendir þá Persónuvernd tilkynningu þess efnis.
Nánar er fjallað um hátternisreglur í 40. og 41. gr. pvrg.