Hvenær má vinna með persónuupplýsingar?

Þegar unnar eru persónuupplýsingar um þig þarf alltaf að byggja einhverri af eftirfarandi sex heimildum til þess að vinnslan teljist lögmæt:

1. Samþykki þínu fyrir vinnslunni í þágu eins eða fleiri tiltekinna markmiða.
2. Vinnslan er nauðsynleg til að efna samning sem þú ert aðili að eða að til að gera ráðstafanir að þinni beiðni áður en samningur er gerður.
3. Vinnslan er nauðsynleg til að fullnægja lagaskyldu sem hvílir á þeim sem ákveður vinnsluna (ábyrgðaraðila).
4. Vinnslan er nauðsynleg til að vernda brýna hagsmuni þína eða annars einstaklings.
5. Vinnslan er nauðsynleg vegna verks sem unnið er í þágu almannahagsmuna eða við beitingu opinbers valds sem ábyrgðaraðili fer með.
6. Vinnslan er nauðsynleg vegna lögmætra hagsmuna sem ábyrgðaraðili eða einhver annar gætir, nema hagsmunir þínir eða grundvallarréttindi og frelsi, sem krefjast verndar persónuupplýsinga, vegi þyngra, einkum ef þú ert barn.

Ef sú heimild sem byggt er á gerir kröfu um að vinnslan sé nauðsynleg þarf að gæta að því hvort unnt sé að ná sömu markmiðum án þess að vinna persónuupplýsingar. Ef það er hægt þá er vinnslan ekki heimil.

Það fer eftir tilgangi vinnslunnar hvaða heimild getur átt við í hvert sinn. Engin ein heimild er mikilvægari eða betri en önnur. 

Sérstakar reglur gilda um viðkvæmar persónuupplýsingar, en þær eru sérflokkur innan persónuverndarlaganna. Viðkvæmar persónuupplýsingar eru m.a. kynþáttur, stjórnmálaskoðanir eða heilsufarsupplýsingar. Hér má lesa nánar um hvenær má vinna með viðkvæmar persónuupplýsingar.

Hvaða reglur gilda um samþykki fyrir vinnslu?

Það er ábyrgðaraðili vinnslu sem þarf að geta sýnt fram á að þú hafir samþykkt vinnslu persónuupplýsinga um þig. Samþykki geta verið í mismunandi formi, en þó eru ákveðin grunnskilyrði sem þarf alltaf að uppfylla:

· Samþykki verður að vera veitt með aðgerð. Þetta þýðir meðal annars að reitur, sem þegar hefur verið hakað í fyrir notandann, telst ekki fullnægjandi samþykki.

· Samþykki getur verið veitt með sérstakri yfirlýsingu eða með ótvíræðri staðfestingu. Yfirlýsingin getur verið munnleg, skrifleg eða með rafrænum hætti. Ótvíræð staðfesting getur t.d. verið fólgin í því að svara spurningakönnun á netinu, að því gefnu að könnunin sé í samræmi við persónuverndarlög að öðru leyti.

· Samþykki þarf að vera óþvingað, þ.e. veitt af fúsum og frjálsum vilja. Ef ekki er hægt að afturkalla samþykki án neikvæðra afleiðinga er það ekki veitt af fúsum og frjálsum vilja.

· Samþykki þarf að vera sértækt. Í því felst að þú þarf að vita hvaða persónuupplýsingar á að vinna með og í hvaða tilgangi. Þú átt einnig að geta valið hvaða tilgang vinnslu þú samþykkir og hvaða tilgang þú samþykkir ekki.

· Samþykki þarf einnig að vera upplýst og þarf ábyrgðaraðili að veita fullnægjandi upplýsingar um vinnslu persónuupplýsinga áður en samþykki er veitt. Engar formkröfur eru gerðar til fræðslu af þessu tagi en þó þarf hún að vera einföld og á auðskiljanlegu máli.

· Samþykki þarf að vera ótvírætt, þ.e. það það þarf að vera augljóst að þú hafir samþykkt vinnslu persónuupplýsinga um þig. Ábyrgðaraðilinn þarf að geta sýnt fram á þetta eins og önnur atriði varðandi samþykki.

· Þú átt alltaf rétt á því að draga samþykki þitt til baka og það á að vera jafn auðvelt að draga samþykki til baka og að veita það.

Hvenær er vinnsla nauðsynleg til að efna samning sem þú ert aðili að?

Ýmis vinnsla persónuupplýsinga hjá fyrirtækjum, sem þú átt í viðvarandi viðskiptasambandi við, getur fallið hér undir. Þetta getur t.d. átt við um banka og önnur fjármálafyrirtæki, vátryggingafélög, ýmis fjarskiptafyrirtæki o.fl. Ábyrgðaraðilinn þarf þó ávallt að gæta að meginreglum persónuverndarlaga, meðal annars um meðalhóf og gagnsæi. Þá er skilyrði að þú sért aðili að samningnum til að vinnslan sé heimil.

Hvenær er vinnsla nauðsynleg til að fullnægja lagaskyldu?

Í mörgum tilfellum getur vinnsla stjórnvalda ríkis og sveitarfélaga á persónuupplýsingum byggst á því að hún sé nauðsynleg til að fullnægja lagaskyldu sem hvílir á viðkomandi stjórnvaldi. Stjórnvöldum eru fengin verkefni með lögum og því algengt að í slíkum lagaákvæðum sé mælt fyrir um einhvers konar vinnslu persónuupplýsinga; söfnun, skráningu, miðlun o.s.frv., eftir því sem við á.

Vinnsla getur einnig talist nauðsynleg til að fullnægja lagaskyldu þegar vinnuveitendur vinna upplýsingar um starfsmenn sína, óháð því hvort vinnuveitandinn er opinber aðili eða á einkamarkaði. Sérstaklega mikilvægt er að vinnuveitendur gæti að fræðslu til starfsmanna sinna um vinnslu persónuupplýsinga þeirra af hálfu vinnuveitandans.

Hvenær er vinnsla nauðsynleg til að vernda brýna hagsmuni þína eða annars einstaklings?

Þetta getur átt við ef að þú ert af einhverjum orsökum ófær um að veita samþykki þitt fyrir vinnslu, t.d. vegna veikinda, fjarveru eða öðrum samsvarandi ástæðum. Með brýnum hagsmunum er átt við hagsmuni sem hafa grundvallarþýðingu fyrir þig.

Hvenær getur vinnsla byggst á almannahagsmunum eða beitingu opinbers valds?

Í framkvæmd er algengast að opinberir aðilar geti byggt vinnslu persónuupplýsinga á því að hún sé nauðsynleg vegna almannahagsmuna. Það er þó ekki skilyrði að um opinbera aðila sé að ræða. Til þess að falla hér undir þarf vinnslan að vera unnin í almannaþágu og hafa þýðingu fyrir breiðan hóp manna. Þá þarf einnig að vera skýr lagaheimild fyrir vinnslunni.

Svipuð sjónarmið eiga við um beitingu opinbers valds. Oftast er stjórnvöldum falið opinbert vald, en við sérstakar aðstæður geta þau framselt það vald til annarra aðila. Með beitingu opinbers valds er fyrst og fremst átt við töku stjórnvaldsákvarðana en ýmis opinber þjónustustarfsemi getur einnig fallið hér undir.

Algengt er að vinnsla á vegum stjórnvalda geti bæði verið nauðsynleg til að fullnægja lagaskyldu og við beitingu opinbers valds. Almennt er gert ráð fyrir því að þegar fleiri en ein vinnsluheimild koma til greina, taki ábyrgðaraðilinn ákvörðun um við hvaða heimild skuli stuðst.

Hvenær er vinnsla nauðsynleg vegna lögmætra hagsmuna?

Vinnsla persónuupplýsinga getur byggst á því að hún sé nauðsynleg til að gæta lögmætra hagsmuna sem ábyrgðaraðili eða annar aðili gætir. Ef hagsmunir þínir sem skráðs einstaklings af því að vinnslan fari ekki fram vega þyngra en hinir lögmætu hagsmunir af vinnslunni ætti vinnslan hins vegar ekki að vera framkvæmd. Þetta er sérstaklega mikilvægt ef unnið er með persónuupplýsingar um börn. Það þarf því ávallt að fara fram ákveðið hagsmunamat ef ætlunin er að styðjast við þessa vinnsluheimild.

Ýmis vinnsla persónuupplýsinga getur fallið hér undir, bæði vinnsla á vegum stjórnvalda og einkaaðila. Viðskiptahagsmunir, t.d. í tengslum við innheimtu fjárkrafna, geta þannig oft réttlætt ákveðna vinnslu persónuupplýsinga sem nauðsynleg er til að gæta þeirra hagsmuna. Sem fyrr þarf þó alltaf að huga að meginreglum persónuverndarlaga, meðal annars um meðalhóf, áreiðanleika og öryggi upplýsinga.