Auglýsing nr. 828/2019 um skrá yfir vinnsluaðgerðir sem krefjast ávallt mats á áhrifum á persónuvernd
1. gr.
Almennt.
Ábyrgðaraðili skal í ákveðnum tilfellum ávallt framkvæma mat á áhrifum fyrirhugaðra vinnsluaðgerða á vernd persónuupplýsinga, áður en vinnslan hefst.
Persónuvernd skal, samkvæmt 2. mgr. 29. gr. laga nr. 90/2018, sbr. 4. mgr. 35. gr. almennu persónuverndarreglugerðarinnar (ESB) 2016/679, útbúa og birta skrá yfir þær tegundir vinnsluaðgerða þar sem krafist er mats á áhrifum á persónuvernd. Slíkt mat skal framkvæmt áður en vinnsla persónuupplýsinganna hefst.
Það er mat Persónuverndar að þær tegundir vinnslu á persónuupplýsingum sem tilgreindar eru í 3. gr. séu þess eðlis að líklegt sé að þær geti haft í för með sér mikla áhættu fyrir réttindi og frelsi einstaklinga. Þessi listi er byggður á greiningu svokallaðs 29. gr. vinnuhóps Evrópusambandsins, sem staðfest hefur verið af Evrópska persónuverndarráðinu (European Data Protection Board - EDPB), nr. WP-248, sem litið hefur verið til sem grundvallarþáttar til að tryggja samræmda framkvæmd innan Evrópska efnahagssvæðisins.
Það er eðli lista sem þessa að hann er ekki tæmandi um þær tegundir vinnslu sem líklegt er að geti haft í för með sér mikla áhættu fyrir réttindi og frelsi einstaklinga. Af þeim sökum er það á ábyrgð ábyrgðaraðila að meta í hvert og eitt sinn hvort vinnsla felur í sér slíka áhættu, hvort sem hún er tilgreind í 3. gr. eða ekki.
2. gr.
Viðmið í leiðbeiningum 29. gr. vinnuhópsins nr. WP-248.
Í flestum tilfellum þar sem framkvæma þarf mat á áhrifum fyrirhugaðra vinnsluaðgerða á vernd persónuupplýsinga, líkt og vísað er til í leiðbeiningum 29. gr. vinnuhópsins nr. WP-248, er um að ræða vinnslu persónuupplýsinga er lýtur að tveimur eða fleiri flokkum sem tilgreindir eru hér að neðan. Í ákveðnum tilfellum er þó nægjanlegt að vinnslan falli undir einn flokk til að hún kalli á slíkt mat.
- Mat eða einkunnagjöf/stigagjöf.
- Sjálfvirk ákvarðanataka sem hefur áhrif á réttindi hins skráða.
- Kerfisbundið eftirlit.
- Viðkvæmar persónuupplýsingar eða aðrar persónuupplýsingar viðkvæms eðlis.
- Umfangsmikil gagnavinnsla.
- Samkeyrsla og sameining gagnasafna.
- Upplýsingar um aðila sem standa höllum fæti.
- Vinnsla þar sem beitt er nýrri tækni eða skipulagslausnum eða eldri tækni er beitt á nýjan hátt.
- Vinnsla persónuupplýsinga sem kemur í veg fyrir að hinn skráði geti notið réttinda, fái fyrirgreiðslu, þjónustu eða samning.
3. gr.
Skrá yfir vinnsluaðgerðir sem krefjast ávallt mats á áhrifum á persónuvernd.
- Gagnaöflun frá þriðja aðila í samhengi við a.m.k. einn af framangreindum flokkum í 2. gr.
Til dæmis söfnun og sameining persónuupplýsinga frá þriðja aðila í því skyni að ákveða hvort hinn skráði skuli fá boðun, hann hljóti áfram, eða verði neitað um vöru, þjónustu eða tilboð. (Aðilar sem standa höllum fæti og mat eða einkunnagjöf/stigagjöf)
eða kerfisbundin sameining upplýsinga frá fjarskiptatækjum, t.a.m. um staðsetningu, við önnur gögn, eða vinnsla persónuupplýsinga um notkun notanda á þjónustu fjarskiptafyrirtækis. (Viðkvæmar persónuupplýsingar eða aðrar upplýsingar viðkvæms eðlis og kerfisbundið eftirlit). - Umfangsmikið kerfisbundið eftirlit, að meðtalinni myndavélavöktun, á svæðum opnum almenningi. (Kerfisbundin vinnsla og umfangsmikil vinnsla).
- Rafrænt eftirlit við skóla eða leikskóla á skóla-/vistunartíma. (Kerfisbundið eftirlit og aðilar sem standa höllum fæti).
- Vinnsla persónuupplýsinga í því skyni að leggja mat á árangur, líðan eða velferð nemenda í skóla eða leikskóla. Þetta á við á öllum menntastigum, svo sem í leikskólum, grunnskólum, framhaldsskólum og háskólum. (Aðilar sem standa höllum fæti og kerfisbundið eftirlit).
- Vinnsla lífkennaupplýsinga í því skyni að greina eða staðfesta deili á einstaklingi með ótvíræðum hætti, samhliða því að vinnslan lýtur að a.m.k. einum þeirra flokka sem tilgreindir eru í 2. gr.
Til dæmis umfangsmikil vinnsla upplýsinga um lífkenni. (Viðkvæmar persónuupplýsingar eða aðrar upplýsingar viðkvæms eðlis og umfangsmikil vinnsla). - Vinnsla með erfðafræðilegar upplýsingar, samhliða því að vinnslan lýtur að a.m.k. einum þeirra flokka sem tilgreindir eru í 2. gr.
Til dæmis umfangsmikil vinnsla erfðafræðilegra upplýsinga, þar á meðal raðgreining erfðamengja. (Viðkvæmar persónuupplýsingar eða aðrar upplýsingar viðkvæms eðlis og umfangsmikil vinnsla). - Vinnsla persónuupplýsinga sem felur í sér vöktun vinnuskila eða hegðunar starfsmanna.
Til dæmis að fylgjast, á kerfisbundinn hátt, með netnotkun starfsmanna, rafrænum samskiptum þeirra eða að fylgjast með starfsmönnum með myndavélavöktun. (Aðilar sem standa höllum fæti og kerfisbundið eftirlit). - Vinnsla persónuupplýsinga þar sem beitt er nýrri tækni eða eldri tækni er beitt á nýjan hátt, samhliða því að vinnslan lýtur að a.m.k. einum þeirra flokka sem tilgreindir eru í 2. gr.
Til dæmis vinnsla heilsufarsupplýsinga sem fengnar eru með nýrri heilbrigðistækni, svo sem ígræðanlegum lækningatækjum. (Vinnsla þar sem beitt er nýrri tækni og viðkvæmar persónuupplýsingar eða aðrar upplýsingar viðkvæms eðlis). - Vinnsla persónuupplýsinga í því skyni að leggja, með kerfisbundnum hætti, mat á færni, hæfni, útkomu úr prófunum, andlega heilsu eða þroska. (Viðkvæmar persónuupplýsingar eða aðrar upplýsingar viðkvæms eðlis og kerfisbundið eftirlit).
- Vinnsla persónuupplýsinga sem fer fram án samþykkis hins skráða í vísindalegum eða sagnfræðilegum tilgangi, samhliða því að vinnslan lýtur að a.m.k. einum þeirra flokka sem tilgreindir eru í 2. gr.
Til dæmis vinnsla heilsufarsupplýsinga í tengslum við vísindarannsóknir án samþykkis hins skráða. (Mat eða einkunnagjöf/stigagjöf og viðkvæmar persónuupplýsingar eða aðrar upplýsingar viðkvæms eðlis). - Vinnsla persónuupplýsinga í þeim tilgangi að veita þjónustu eða þróa vörur ætlaðar til notkunar í viðskiptatilgangi, þar sem spáð er fyrir um starfsgetu, efnahagslega stöðu, heilsu, skoðanir eða hugðarefni, áreiðanleika, hegðun, staðsetningu eða ferðaleiðir, samhliða því að vinnslan lýtur að a.m.k. einum þeirra flokka sem tilgreindir eru í 2. gr. (Viðkvæmar persónuupplýsingar eða aðrar upplýsingar viðkvæms eðlis og mat eða einkunnagjöf/stigagjöf).
- Umfangsmikil vinnsla með viðkvæmar persónuupplýsingar, eða aðrar persónuupplýsingar viðkvæms eðlis, í því skyni að þróa algrím. (Umfangsmikil vinnsla og viðkvæmar persónuupplýsingar eða aðrar upplýsingar viðkvæms eðlis).
- Umfangsmikil söfnun persónuupplýsinga, sem fer fram í gegnum „Internet hlutanna“ eða lausnir sem fylgjast með ástandi og hreyfingu einstaklinga, svo sem snjallúr. (Umfangsmikil vinnsla og viðkvæmar persónuupplýsingar eða aðrar upplýsingar viðkvæms eðlis).
- Vinnsla persónuupplýsinga sem kemur í veg fyrir að hinn skráði fái notið tiltekinna réttinda eða fái fyrirgreiðslu, þjónustu eða samning, samhliða því að vinnslan lýtur að a.m.k. einum þeirra flokka sem tilgreindir eru í 2. gr.
Til dæmis þegar fjármálastofnun skoðar lánshæfisupplýsingar einstaklings í þeim tilgangi að taka ákvörðun um hvort veita skuli honum lánafyrirgreiðslu. (Mat eða einkunnagjöf/stigagjöf og viðkvæmar persónuupplýsingar eða aðrar upplýsingar viðkvæms eðlis).
4. gr.
Gildistaka o.fl.
Auglýsing þessi er gefin út með stoð í 2. mgr. 29. gr. laga nr. 90/2018, sbr. 4. mgr. 35. gr. almennu persónuverndarreglugerðarinnar (ESB) 2016/679.
Auglýsing þessi öðlast þegar gildi. Á sama tíma fellur úr gildi auglýsing nr. 337/2019 um skrá yfir vinnsluaðgerðir þar sem krafist er mats á áhrifum á persónuvernd.
F.h. Persónuverndar, 29. ágúst 2019,
Björg Thorarensen.
Helga Þórisdóttir.