Persónuverndarfulltrúi
Persónuverndarfulltrúi á að vera til staðar hjá öllum stofnunum, ráðuneytum og sveitarfélögum og ákveðnum fyrirtækjum. Hann hefur það hlutverk að fylgjast með því að fyrirtæki og stofnanir fari að persónuverndarlögum.
Hvað er persónuverndarfulltrúi?
Stjórnvöld og sveitarfélög þurfa að tilnefna persónuverndarfulltrúa, sem og fyrirtæki sem stunda ákveðna umfangsmikla vinnslu persónuupplýsinga.
Persónuverndarfulltrúar aðstoða fyrirtæki til að sinna innra eftirliti, upplýsa og ráðleggja vegna persónuverndarlöggjafarinnar, veita ráðgjöf við framkvæmd mats á áhrifum á persónuvernd, eru tengiliður við einstaklinga og Persónuvernd.
Persónuverndarfulltrúinn
þarf að vera sjálfstæður, sérfræðingur í persónuverndarlöggjöfinni, hafa
fullnægjandi aðstöðu og mannafla og hafa beinan aðgang að æðstu yfirstjórn.
Persónuverndarfulltrúi getur annaðhvort verið starfsmaður eða utanaðkomandi
sérfræðingur.
Stjórnvöld
geta sameinast um einn persónuverndarfulltrúa og hið sama á við um
fyrirtækjasamstæður fyrirtækja.
Persónuverndarfulltrúar aðstoða við að sýna fram á fylgni við löggjöfina og eru
hluti af aukinni áherslu á ábyrgðarskylduna.
Hér má finna athugunarlista við tilnefningu persónuverndarfulltrúa.
Hvaða stofnanir/fyrirtæki verða að tilnefna persónuverndarfulltrúa?
Skylt er að tilnefna persónuverndarfulltrúa þegar:
- vinnsla fer fram hjá stjórnvaldi (óháð því hvaða persónuupplýsingar eru unnar). Það sama á við um sveitarfélög.
- meginstarfsemi ábyrgðaraðila eða vinnsluaðila lýtur að vinnsluaðgerðum, sem fela í sér umfangsmikið, reglubundið og kerfisbundið eftirlit með einstaklingum.
- meginstarfsemi ábyrgðaraðila eða vinnsluaðila er umfangsmikil vinnsla viðkvæmra persónuupplýsinga eða persónuupplýsinga er varða sakfellingar í refsimálum og refsiverð brot.
Æskilegt er að fyrirtæki, sem sinna verkefnum sem innt eru af hendi í þágu almannahagsmuna tilnefni persónuverndarfulltrúa þó þau teljist ekki til stjórnvalda. Nefna má sem dæmi þá sem sinna almenningssamgöngum, vegaframkvæmdum eða fjölmiðlun, orkuveitur, húsnæðisstofnanir eða opinbera eftirlitsaðila tiltekinna starfsstétta. Einnig er æskilegt að fyrirtæki sem eru að meirihluta í eigu ríkisins tilnefni slíka fulltrúa.
Fyrirtækjum sem ekki sinna þessari starfsemi er engu að síður frjálst að tilnefna persónuverndarfulltrúa, en hafa þarf í huga að þá þarf að gera sömu kröfur og gerðar eru þegar skylt er að tilnefna fulltrúann.
Þegar persónuverndarfulltrúi hefur verið tilnefndur hjá viðkomandi fyrirtæki eða stjórnvaldi þarf ábyrgðaraðili að tilkynna um það til Persónuverndar með upplýsingum um nafn hans, netfang og símanúmer.
Hvað þýðir „meginstarfsemi“?
Hugtakið meginstarfsemi felur í sér að vinnsla persónuupplýsinga þarf að vera einn af lykilþáttum í starfsemi ábyrgðaraðila eða vinnsluaðila. Hugtakið tekur einnig til þess þegar vinnsla persónuupplýsinga er órjúfanlegur hluti starfseminnar. Vinnsla heilsufarsupplýsinga, sem teljast til viðkvæmra persónuupplýsinga, er til dæmis hluti af meginstarfsemi spítala og því verða slíkar stofnanir að tilnefna persónuverndarfulltrúa.
Hins vegar hafa flestar stofnanir og/eða fyrirtæki með höndum ýmsa stoðstarfsemi, t.d. í tengslum við greiðslu launa eða rekstur tölvukerfa. Slík stoðstarfsemi telst ekki til meginstarfsemi fyrirtækis/stofnunar þótt þessi starfsemi sé vissulega nauðsynleg og óhjákvæmileg fyrir daglega starfsemi og feli oft í sér vinnslu persónuupplýsinga.
Hvað þýðir „umfangsmikil vinnsla“?
Umfang vinnslu þarf fyrirtækið að meta, t.d. út frá:
- fjölda hinna skráðu - annaðhvort út frá tilteknum fjölda eða byggt á hlutfalli miðað við t.d. íbúafjölda,
- magni persónuupplýsinga og/eða tegundum mismunandi persónuupplýsinga sem unnið er með,
- tímalengd vinnslustarfseminnar eða varðveislutíma upplýsinganna,
- landfræðilegum mörkum vinnslustarfseminnar.
Dæmi um umfangsmikla vinnslu:
- Vinnsla sjúkraskrárupplýsinga í reglulegri starfsemi heilbrigðisstofnana,
- Vinnsla ferðaupplýsinga einstaklinga sem ferðast með almenningssamgöngum sveitarfélaga (vöktun með notkun á samgöngukortum),
- Vinnsla staðsetningarupplýsinga í rauntíma um viðskiptavini skyndibitakeðju, til að fá fram tölfræði, sem fer fram af hálfu utanaðkomandi sérfræðings á því sviði,
- Vinnsla vátryggingarfélaga og banka á persónuupplýsingum um viðskiptavini sem eru í reglulegum samskiptum,
- Vinnsla persónuupplýsinga af hálfu leitarvélar um hegðun einstaklinga á Netinu, í þeim tilgangi að bjóða persónusniðnar auglýsingar (t.d. byggt á leitarsögu),
- Vinnsla persónuupplýsinga (s.s. um innihald samskipta, fjarskiptaumferð eða staðsetningu) hjá fjarskiptafyrirtækjum eða netþjónustuaðilum (ISPs).
Dæmi um vinnslu sem telst ekki umfangsmikil:
- Vinnsla sjúkraskrárupplýsinga hjá sjálfstætt starfandi heilbrigðisstarfsmanni (einyrkja),
- Vinnsla persónuupplýsinga er varða sakfellingar í refsimálum eða refsiverð brot hjá einstökum lögmönnum/lögfræðingum.
Hvað þýðir „reglulegt og kerfisbundið eftirlit“?
Það nær til allra tegunda eftirlits, óháð því hvort það fer fram á Netinu eða ekki, og gerðar/notkunar persónusniða á Netinu, þ. á m. til persónusniðinna auglýsinga.
Dæmi um starfsemi sem getur falið í sér reglulegt og kerfisbundið eftirlit með einstaklingum (hinum skráðu):
- Rekstur fjarskiptanets og fjarskiptaþjónustu.
- Markaðssetning gagnvart einstaklingum með tölvupósti, sem byggð er á söfnun persónuupplýsinga og/eða á hegðun einstaklings (e. behavioural advertising).
- Gerð persónusniða og áhættumats, t.d. lánshæfismats, við ákvörðun um greiðslu tryggingariðgjalda, til að koma í veg fyrir svik eða peningaþvætti.
- Eftirlit með staðsetningu einstaklinga (e. location tracking), t.d. með notkun á smáforritum,
- Meðlimaaðild hjá fyrirtækjum.
- Eftirlit með hreyfingu samkvæmt upplýsingum úr heilsuúrum eða annars konar heilsutækjum sem einstaklingur hefur á sér.
- Notkun öryggismyndavéla.
- Notkun nettengdra tækja (e. Internet of Things), s.s. snjallmæla, snjallbíla, snjallheimilistækja o.fl. Notkun einstaklings innan heimilis á snjalltækjum fellur ekki hér undir..
Litið er svo á að orðið „reglulega“ þýði eitt af eftirfarandi:
- Áframhaldandi eða með reglulegu millibili á tilteknu tímabili,
- Endurnýjað eða endurtekið á tilteknum tímum,
- Stöðugt eða gerist á tilteknum tíma.
Litið er svo á að orðið kerfisbundið þýði eitt af eftirfarandi:
- Að vinnsla fari fram samkvæmt skipulögðu ferli eða kerfi,
- Að vinnsla sé fyrirfram ákveðin eða skipulögð,
- Að vinnsla sé framkvæmd sem hluti af almennri áætlun um öflun upplýsinga,
- Að vinnsla sé framkvæmd sem hluti af stefnu fyrirtækis eða stofnunar.
Geta stofnanir eða fyrirtæki tilnefnt sameiginlegan persónuverndarfulltrúa? Ef svo er, undir hvaða kringumstæðum?
Já, þeim er það heimilt.
Fyrirtækjasamstæðum er heimilt að tilnefna persónuverndarfulltrúa fyrir fleiri en eitt þeirra fyrirtækja sem undir hana heyra. Það er þó gert að skilyrði að sérhver starfsstöð hafi greiðan aðgang að honum.
Samskipti við persónuverndarfulltrúann þurfa að vera auðveld vegna eðlis starfs hans, þ.e. sem tengiliður við hina skráðu og við Persónuvernd, en einnig innan viðkomandi fyrirtækis. Til að tryggja aðgengi að persónuverndarfulltrúanum þurfa samskiptaupplýsingar (netfang, símanúmer, aðsetur) að liggja fyrir, bæði fyrir starfsmenn og fyrir utanaðkomandi aðila. Því má koma í kring með því að birta samskiptaupplýsingar á innri og ytri vef.
Persónuverndarfulltrúinn, sem getur notið aðstoðar teymis ef þörf er á því, verður að vera í aðstöðu til að eiga greið samskipti við hina skráðu og viðeigandi persónuverndarstofnun. Það þýðir að samskiptin verða að fara fram á tungumáli eða tungumálum þeirra persónuverndaryfirvalda og einstaklinga sem í hlut eiga.
Auðvelt aðgengi að persónuverndarfulltrúanum (hvort sem hann er á sama stað og aðrir starfsmenn, eða hægt að ná sambandi við hann í gegnum neyðarnúmer eða með öðrum öruggum hætti) er nauðsynleg forsenda þess að hinir skráðu geti haft samband við hann.
Þá er hægt að tilnefna einn persónuverndarfulltrúa fyrir fleiri en eitt stjórnvald að teknu tilliti til stjórnskipulags og stærðar þeirra. Hér á það sama við og um fyrirtækin – tryggja þarf fullnægjandi mannauð, fjármagn og aðgengi að persónuverndarfulltrúanum. Í ljósi margvíslegra verkefna persónuverndarfulltrúans þarf að tryggja að persónuverndarfulltrúinn, með aðstoð teymis ef þarf, geti sinnt þessu hlutverki sínu þó hann sé tilnefndur fyrir fleiri en eitt stjórnvald.
Hvar á persónuverndarfulltrúinn að vera staðsettur?
Til að aðgengi að persónuverndarfulltrúanum sé tryggt verður hann í það minnsta að vera staðsettur innan EES-svæðisins, óháð því hvort starfsemin er staðsett þar eða ekki. Það er þó ekki útilokað að í afmörkuðum tilvikum geti þær aðstæður verið fyrir hendi að hvorki ábyrgðaraðili né vinnsluaðili séu með starfsstöð innan EES-svæðisins og því sé betra sé fyrir persónuverndarfulltrúann að sinna starfi sínu utan þess.
Er mögulegt að tilnefna utanaðkomandi verktaka sem persónuverndarfulltrúa?
Já, persónuverndarfulltrúi getur bæði verið starfsmaður ábyrgðaraðila eða vinnsluaðila og tekið að sér verkefnið með þjónustusamningi. Það þýðir að persónuverndarfulltrúinn getur verið utanaðkomandi verktaki og í þeim tilvikum þarf að tilgreina verkefni hans sérstaklega með skýrum hætti í þjónustusamningi við viðkomandi einstakling eða stofnun/fyrirtæki.
Þegar utanaðkomandi verktaki gegnir starfi persónuverndarfulltrúa getur teymi á vegum verktakans gegnt starfi persónuverndarfulltrúans, en á ábyrgð nánar tilgreinds „stjórnanda“ gagnvart viðskiptavininum. Ef svo er er mikilvægt að hver og einn starfsmaður teymisins uppfylli allar þær kröfur sem reglugerðin gerir til persónuverndarfulltrúa.
Til að ýta undir lagalega fullvissu, góða skipulagningu og til að koma í veg fyrir hagsmunaárekstra innan teymisins er æskilegt að þjónustusamningar innihaldi skýra skilgreiningu á verkefnum verktakans (eða teymis hans) og að þar sé tiltekinn einstaklingur tilgreindur sem aðaltengiliður við ábyrgðaraðilann. Sá einstaklingur sem tilnefndur er stýrir jafnframt umræddu verkefni.
Hvaða skilyrði þarf persónuverndarfulltrúi að uppfylla?
Persónuverndarfulltrúi skal tilnefndur á grundvelli faglegrar hæfni sinnar, einkum sérþekkingar á persónuverndarlögum og lagaframkvæmd á því sviði, auk getu sinnar til að vinna þau verkefni sem honum eru falin í reglugerðinni.
Við mat á því hvaða kröfur þarf að gera til sérþekkingar persónuverndarfulltrúans þarf að hafa hliðsjón af þeirri vinnslu persónuupplýsinga sem fer fram og þeim kröfum sem gerðar eru til verndar þeirra persónuupplýsinga sem vinnslan lýtur að. Þegar vinnsla persónuupplýsinga er mjög flókin eða þegar um er að ræða umfangsmikla vinnslu viðkvæmra upplýsinga þarf að gera ríkari kröfur til sérþekkingar persónuverndarfulltrúans og þess stuðnings sem hann getur þarfnast.
Mikilvæg hæfni og sérþekking getur t.d. verið:
- sérþekking á innlendum og evrópskum persónuverndarlögum og lagaframkvæmd á því sviði,
- skilningur á þeirri vinnslu sem fram fer,
- skilningur á öryggis- og upplýsingatæknimálum,
- þekking á starfsemi fyrirtækisins,
- geta til að efla persónuverndarmenningu hjá viðkomandi stofnun/fyrirtæki.
Ef um stjórnvöld er að ræða ætti persónuverndarfulltrúinn að hafa þekkingu á stjórnsýslulögum svo og þeim lögum er varða umrædda starfsemi.
Rétt er að taka fram að persónuverndarfulltrúar þurfa ekki að hafa sérstaka vottun sem persónuverndarfulltrúar til að geta gegnt umræddu starfi, þó svo að vissulega geti slík vottun verið til marks um að viðkomandi hafi a.m.k. einhverja þekkingu á persónuverndarlöggjöf. Þá er ekki gert að skilyrði að persónuverndarfulltrúinn sé lögfræðingur, en viðkomandi þarf engu að síður að hafa greinargóða þekkingu á persónuverndarreglugerðinni og öðrum lögum sem starfsemina varða.
Hvaða aðstöðu eða heimildir (e. resources) þarf persónuverndarfulltrúi að hafa hjá ábyrgðaraðila eða vinnsluaðila?
Persónuverndarfulltrúi þarf að hafa nauðsynleg úrræði, þ.e. aðstöðu og heimildir, til að geta sinnt starfi sínu.
Með tilliti til eðlis og umfangs starfseminnar skal persónuverndarfulltrúi hafa að lágmarki eftirfarandi aðstöðu og heimildir:
- Virkan stuðning æðstu yfirmanna.
- Nægan tíma til að sinna verkefninu.
- Nægan fjárhagslegan stuðning, starfsaðstöðu og undirmenn, þar sem það á við.
- Formlega stöðu sem persónuverndarfulltrúi gagnvart öðrum starfsmönnum.
- Aðgang að stoðþjónustu innan starfseminnar þannig að hann fái þann stuðning sem hann þarf, aðföng og upplýsingar frá öðum þjónustusviðum.
- Stöðuga þjálfun/endurmenntun.
Tryggja skal að persónuverndarfulltrúinn komi með viðeigandi hætti og tímanlega að öllum málum er tengjast vernd persónuupplýsinga. Honum skal m.a. boðið að funda með yfirstjórn reglulega, vera viðstaddur þegar ákvarðanir um aðgerðir vegna vinnslu persónuupplýsinga eru teknar og gefa þarf honum möguleika á að gefa viðeigandi ráð. Ef ekki er farið að ráðum persónuverndarfulltrúans þarf að skrásetja það sérstaklega.
Benda má á að þegar um umfangsmikla starfsemi persónuupplýsinga er að ræða getur þurft að skipa teymi persónuverndarfulltrúa (í teyminu eru þá persónuverndarfulltrúi og starfsmenn hans). Í slíkum tilvikum þarf skipulag teymisins og verkefni hvers og eins að vera skýrt skilgreint.
Hvernig er tryggt að persónuverndarfulltrúi geti sinnt starfi sínu sjálfstætt? Hvað þýðir „hagsmunaárekstrar“?
Nokkur ákvæði í persónuverndarlöggjöfinni eiga að tryggja að persónuverndarfulltrúinn geti starfað sjálfstætt:
- Hann má ekki fá fyrirmæli frá ábyrgðaraðila eða vinnsluaðila um hvernig hann á að sinna starfi sínu.
- Ekki má reka hann eða refsa honum fyrir störf sín sem persónuverndarfulltrúi.
- Hann á ekki að lenda í því að hagsmunir vegna annarra verkefna og starfa geti skarast við starf hans sem persónuverndarfulltrúi.
Persónuverndarfulltrúi getur sinnt starfi sínu samhliða öðrum verkefnum en þau mega ekki valda hagsmunaárekstrum. Það þýðir að persónuverndarfulltrúinn getur ekki verið í þannig stöðu að hann ákveði tilgang og aðferð við vinnslu persónuupplýsinga. Þetta þarf að skoða í hverju tilviki fyrir sig, með tilliti til sérstöðu og stjórnskipulags hverrar stofnunar/fyrirtækis.
Hér þarf líka sérstaklega að gæta að því að við ákvarðanatöku um hvernig skuli haga ákveðinni vinnslu að ekki hægt að leggja þá ábyrgð á persónuverndarfulltrúann, þó svo að það geti verið freistandi – enda væri hann þá farinn að taka ákvarðanir um vinnslu persónuupplýsinga sem aftur myndi valda hagsmunaárekstrum.
Almenna reglan er sú að hagsmunaárekstrar geta orðið ef persónuverndarfulltrúi er millistjórnandi í stofnun/fyrirtæki (svo sem framkvæmdastjóri, rekstarstjóri, fjármálastjóri, markaðsstjóri, mannauðsstjóri, tæknistjóri o.fl.). Það getur þó einnig átt við í tilviki annarra lægra settra starfsmanna ef störf þeirra fela í sér ákvarðanatöku um tilgang og aðferð við vinnslu persónuupplýsinga. Að auki geta hagsmunaárekstrar orðið ef utanaðkomandi persónuverndarfulltrúi er beðinn um að koma fram fyrir hönd fyrirtækis eða stofnunar fyrir dómi í máli er varðar vinnslu persónuupplýsinga hjá viðkomandi aðila.
Skrá yfir vinnslustarfsemi getur hjálpað við að leggja mat á hvort hugsanlegir hagsmunaárekstrar varðandi ákvarðanatöku séu til staðar.
Sjálfstæði persónuverndarfulltrúans þýðir ekki að hann hafi ákvörðunarvald umfram þau verkefni sem honum eru falin.
Verkefni persónuverndarfulltrúa
Hvað felst í eftirliti með reglufylgni?
Til að sinna eftirliti með reglufylgni og aðstoða ábyrgðaraðila og vinnsluaðila við að fylgja persónuverndarreglugerðinni þarf persónuverndarfulltrúinn sérstaklega að:
- safna upplýsingum til að greina vinnsluna,
- greina og fylgjast með reglufylgni í starfseminni,
- upplýsa, ráðleggja og koma á framfæri tillögum til ábyrgðarðila eða vinnsluaðila.
Persónuverndarfulltrúi er tengiliður við Persónuvernd og getur sem slíkur haft fyrirframsamráð og leitað ráða, eftir því sem við á, varðandi önnur málefni. Persónuvernd hvetur persónuverndar-fulltrúa til að hafa samband ef þurfa þykir.
Er persónuverndarfulltrúinn persónulega ábyrgur ef reglum um persónuvernd er ekki fylgt?
Nei, persónuverndarfulltrúinn er ekki persónulega ábyrgur ef ákvæðum persónuverndarlöggjafarinnar er ekki fylgt. Hann getur hins vegar borið refsiábyrgð gerist hann sekur um alvarleg brot á þagnarskyldu.
Það er á ábyrgð fyrirtækisins eða stjórnvaldsins að tryggja og geta sýnt fram á að vinnsla persónuupplýsinga hjá þeim sé í samræmi við reglurnar („ábyrgðarskyldan“).
Hvert er hlutverk persónuverndarfulltrúans við mat á áhrifum á persónuvernd (MÁP) og gerð skráar yfir vinnslustarfsemi?
Varðandi mat á áhrifum á persónuvernd skulu ábyrgðaraðili og vinnsluaðili leita ráðgjafar hjá persónuverndarfulltrúanum, m.a. um eftirfarandi þætti:
- hvort meta eigi áhrif á persónuvernd,
- hvaða aðferð eigi að beita við að matið,
- hvort matið eigi að fara fram innanhúss eða hvort útvista eigi verkefninu,
- hvaða tæknilegu og skipulögðu öryggisráðstafanir þurfi að gera til að draga úr áhættu fyrir réttindi og frelsi hinna skráðu,
- hvort matið hafi farið fram með réttum hætti og hvort niðurstaða þess (að hefja umrædda vinnslu og hvaða öryggisráðstöfunum eigi að beita) sé í samræmi við kröfur um persónuvernd.
Hvað varðar skrá yfir vinnslustarfsemi, þá er það ábyrgðaraðilinn eða vinnsluaðilinn, en ekki persónuverndarfulltrúinn, sem ber ábyrgð á að halda slíka skrá. Þeir geta hins vegar falið persónuverndarfulltrúa að halda slíka skrá á þeirra ábyrgð. Litið er á slíka skrá sem eina af þeim verkfærum sem persónuverndarfulltrúinn hefur til að sinna starfi sínu við vöktun vinnslu og að upplýsa og ráðleggja ábyrgðar- eða vinnsluaðila.
Ef ekki er farið að ráðum persónuverndarfulltrúans þarf ábyrgðaraðilinn að skrásetja ástæður þess. Persónuverndarfulltrúi er tengiliður við Persónuvernd og getur sem slíkur haft fyrirframsamráð og leitað ráða, eftir því sem við á, varðandi önnur málefni.