Hvenær má vinna með viðkvæmar persónuupplýsingar?
Sá sem vinnur viðkvæmar persónuupplýsingar þarf að ákveða fyrirfram við hvaða heimild vinnslan styðst.
Meginreglan er einföld. Það er að óheimilt er að vinna viðkvæmar persónuupplýsingar nema að hafa til þess heimild í persónuverndarlögunum.
Viðkvæmar persónuupplýsingar eru upplýsingar sem varða:
- Kynþátt
- Þjóðernislegan uppruna
- Stjórnmálaskoðanir
- Trúarbrögð eða lífsskoðun
- Aðild að stéttarfélagi
- Heilsufarsupplýsingar
- Upplýsingar um kynlíf manna og kynhneigð
- Erfðafræðilegar upplýsingar
- Lífkennaupplýsingar, þ.e. upplýsingar sem fást með sérstakri tæknivinnslu og tengjast líkamlegum, lífeðlisfræðilegum eða atferlisfræðilegum eiginleikum einstaklings, t.d. andlitsmyndir eða gögn um fingraför, enda sé unnið með upplýsingarnar til að persónugreina einstaklinga með einkvæmum hætti.
Til þess að heimilt sé að vinna viðkvæmar persónuupplýsingar þarf vinnslan að byggja á einhverri af þeim sex heimildum sem sjá má í svari við spurningunni „Hvenær má vinna með persónuupplýsingar?“
og
uppfylla að minnsta kosti eitthvert eitt eftirfarandi skilyrða:
- Hinn skráði (einstaklingurinn sem verið er að vinna persónuupplýsingarnar um) þarf að hafa veitt afdráttarlaust samþykki sitt fyrir vinnslunni í þágu eins eða fleiri tiltekinna markmiða. Samþykkið þarf að vera óþvinguð, sértæk, upplýst og ótvíræð viljayfirlýsing hins skráða um að hann samþykki, með yfirlýsingu eða ótvíræðri staðfestingu, vinnslu persónuupplýsinga um sig. Ítarlegri upplýsingar um þær reglur sem gilda um samþykki má finna í svari við spurningunni „Hvaða reglur gilda um samþykki fyrir vinnslu persónuupplýsinga?“
- Vinnslan er nauðsynleg til þess að sá sem ákveður vinnsluna (ábyrgðaraðili) eða hinn skráði geti staðið við skuldbindingar sínar og nýtt sér tiltekin réttindi samkvæmt vinnulöggjöf eða löggjöf um almannatryggingar eða félagslega vernd
- Vinnslan er nauðsynleg til að verja verulega hagsmuni hins skráða eða annars einstaklings sem ekki er sjálfur fær um að gefa samþykki sitt.
- Vinnslan fer fram sem liður í lögmætri starfsemi stofnunar, samtaka eða annars aðila sem starfar ekki í hagnaðarskyni. Hér má nefna starfsemi í tengslum við stjórnmál, heimspeki, trú- eða stéttarfélög. Vinnslan einskorðast við núverandi og/eða fyrrum meðlimi. Persónuupplýsingar eru ekki fengnar þriðja aðila í hendur án samþykkis hinna skráðu og gerðar eru viðeigandi öryggisráðstafanir.
- Vinnslan tekur einungis til upplýsinga sem hinn skráði hefur augljóslega sjálfur gert opinberar.
- Vinnslan er nauðsynleg til að unnt sé að stofna, hafa uppi eða verja réttarkröfur.
- Vinnslan er nauðsynleg af ástæðum sem varða verulega almannahagsmuni og fyrir henni er sérstök lagaheimild.
- Vinnslan er nauðsynleg til að unnt sé að fyrirbyggja sjúkdóma eða vegna atvinnulækninga, til að meta vinnufærni starfsmanns, greina sjúkdóma og láta í té umönnun eða meðferð á sviði heilbrigðis- eða félagsþjónustu, enda er hún framkvæmd af starfsmanni slíkrar þjónustu sem bundinn er þagnarskyldu.
- Vinnslan er nauðsynleg af ástæðum sem varða almannahagsmuni á sviði lýðheilsu, svo sem til að verjast alvarlegum heilsufarsógnum sem ná yfir landamæri eða tryggja gæði og öryggi heilbrigðisþjónustu og lyfja eða lækningatækja.
- Vinnslan er nauðsynleg vegna tölfræði-, sagnfræði- eða vísindarannsókna, enda er persónuvernd tryggð með tilteknum ráðstöfunum eftir því sem við á í samræmi við lög um persónuvernd og vinnslu persónuupplýsinga.
- Vinnslan er nauðsynleg vegna skjalavistunar í þágu almannahagsmuna og fer fram á grundvelli laga sem kveða á um viðeigandi og sértækar ráðstafanir til að vernda grundvallarréttindi og hagsmuni hins skráða, einkum þagnarskyldu.
Persónuvernd leysir úr ágreiningi um hvort persónuupplýsingar skuli teljast viðkvæmar eða ekki.
Aðrar reglur um vinnslu viðkvæmra persónuupplýsinga
Við ákvörðun um hvaða skilyrði eiga við um vinnslu viðkvæmra persónuupplýsinga þarf fyrst og fremst að líta til tilgangs vinnslunnar.
Ákveða þarf og skrá niður hvað af framangreindum skilyrðum á við áður en vinnsla viðkvæmra persónuupplýsinga hefst.
Hvaða reglur gilda um vinnslu persónuupplýsinga um refsiverða háttsemi?
Stjórnvöld mega ekki vinna með upplýsingar um refsiverða háttsemi nema það sé nauðsynlegt í þágu lögbundinna verkefna þeirra. Þá mega stjórnvöld ekki miðla upplýsingum um refsiverða háttsemi nema að uppfylltu að minnsta kosti einu af eftirtöldum skilyrðum:
- Hinn skráði hefur gefið afdráttarlaust samþykki sitt fyrir því.
- Miðlunin er nauðsynleg í þágu lögmætra hagsmuna hins opinbera eða einkaaðila sem auðsjáanlega vega þyngra en hagsmunir af leynd um upplýsingarnar, þ. á m. hagsmunir hins skráða.
- Miðlunin er nauðsynleg í þágu lögbundinna verkefna viðkomandi stjórnvalds eða til að unnt sé að taka stjórnvaldsákvörðun.
- Miðlunin er nauðsynleg vegna verkefnis í þágu hins opinbera sem einkaaðila hefur verið falið á lögmætan hátt.
Einkaaðilar mega ekki vinna með upplýsingar um refsiverða háttsemi nema hinn skráði hafi veitt til þess ótvírætt samþykki sitt eða vinnslan sé nauðsynleg í þágu lögmætra hagsmuna sem auðsjáanlega vega þyngra en einkalífsréttur hins skráða.
Öll vinnsla upplýsinga um refsiverða háttsemi þarf jafnframt að byggja á einni af hinum sex heimildum fyrir vinnslu almennra persónuupplýsinga sem sjá má í svari við spurningunni „Hvenær má vinna með persónuupplýsingar? “