Mat á áhrifum á persónuvernd og fyrirframsamráð við Persónuvernd
Í ákveðnum tilvikum getur þurft að framkvæma sérstakt mat á áhrifum á persónuvernd (MÁP) áður en vinnsla persónuupplýsinga hefst. Niðurstaða matsins getur orðið til þess að ábyrgðaraðilinn þurfi enn fremur að óska leiðbeininga frá Persónuvernd áður en vinnslan getur hafist.
Hver ber ábyrgð á því að framkvæma MÁP?
Ábyrgðaraðili vinnslu ber ábyrgð á því að MÁP fari fram. Þetta felur þó ekki í sér að ábyrgðaraðilinn þurfi endilega að framkvæma matið sjálfur. Hægt er að fela öðrum aðila, t.d. vinnsluaðila eða utanaðkomandi sérfræðingi, að framkvæma eiginlegt mat, en það er alltaf ábyrgðaraðilinn sem ber endanlega ábyrgð á matinu. Meta þarf hverju sinni hver er best til þess fallinn að framkvæma MÁP, en það getur til dæmis ráðist af því hvort fyrirhuguð vinnsla er fremur á sérsviði vinnsluaðila en ábyrgðaraðila.
Þó að ábyrgðaraðili ákveði að fela öðrum aðila að framkvæma mat á áhrifum á persónuvernd dregur það ekki úr ábyrgð ábyrgðaraðilans sjálfs samkvæmt persónuverndarlögum.
Ábyrgðaraðili þarf að leita ráða hjá persónuverndarfulltrúa, sé honum til að dreifa, þegar MÁP er framkvæmt. Skjalfesta á ráðleggingar persónuverndarfulltrúans í matinu. Persónuverndarfulltrúinn ber hins vegar ekki ábyrgð á framkvæmd matsins.
Hvenær þarf að framkvæma MÁP?
Ábyrgðaraðili þarf að láta fara fram MÁP þegar líklegt er að vinnsla geti haft í för með sér mikla áhættu fyrir réttindi og frelsi einstaklinga. Þetta á einkum við þegar notast er við nýja tækni og/eða ef vinnsla er sérstaklega umfangsmikil. Þegar ákveðið er hvort framkvæma skuli MÁP skal einnig líta til eðlis, umfangs, samhengis og tilgangs vinnslunnar.
Persónuvernd hefur gefið út skrá yfir tegundir vinnslu þar sem skylt er að framkvæma MÁP áður en vinnslan hefst. Þegar vinnslu er ekki að finna í skránni er það á ábyrgð ábyrgðaraðila að meta í hverju tilfelli fyrir sig hvort vinnslan krefjist þess að framkvæmt sé mat á áhrifum á persónuvernd.
Hvaða þætti þarf að meta?
Mat á áhrifum á persónuvernd þarf að hafa að geyma eftirfarandi lágmarksþætti:
- Kerfisbundna lýsingu á fyrirhuguðum vinnsluaðgerðum og tilganginum með vinnslunni
- Mat á því hvort vinnsluaðgerðirnar eru nauðsynlegar og hóflegar
- Mat á áhættu fyrir réttindi og frelsi skráðra einstaklinga
- Ráðstafanir sem fyrirhugað er að grípa til gegn slíkri áhættu og fyrirkomulag við að sýna fram á að farið sé að persónuverndarlögum
Ábyrgðaraðilar geta notfært sér mismunandi aðferðafræði við framkvæmd matsins en viðmiðin eru hins vegar þau sömu. Persónuvernd hefur sett fram athugunarlista vegna framkvæmdar mats á áhrifum á persónuvernd sem er að finna í leiðbeiningum stofnunarinnar um efnið.
Hvenær þarf að leita fyrirframsamráðs við Persónuvernd?
Ábyrgðaraðili skal hafa samráð við Persónuvernd áður en vinnsla hefst ef mat á áhrifum á persónuvernd gefur til kynna að vinnsla myndi hafa mikla áhættu í för með sér, nema ábyrgðaraðili grípi til ráðstafana til að draga úr henni.
Hvernig fer fyrirframsamráðið fram?
Beiðni um fyrirframsamráð þarf að vera skrifleg og henni þarf að fylgja afrit af mati á áhrifum á persónuvernd. Persónuvernd hefur átta vikur til að meta hvort fyrirhuguð vinnsla myndi brjóta í bága við persónuverndarlög eða almennu persónuverndarreglugerðina og skal veita ábyrgðaraðila og/eða vinnsluaðila ráðgjöf varðandi vinnsluna. Lengja má þennan frest um sex vikur ef vinnsla er flókin og þarf Persónuvernd þá að tilkynna ábyrgðaraðila og/eða vinnsluaðila um slíka töf. Þá má framlengja þessa fresti þar til Persónuvernd hefur fengið þær upplýsingar sem hún óskar eftir vegna samráðsins.
Hvar get ég nálgast ítarlegri upplýsingar um MÁP og fyrirframsamráð?
Ítarlegri upplýsingar um mat á áhrifum á persónuvernd og fyrirframsamráð við Persónuvernd er að finna í leiðbeiningum stofnunarinnar um efnið.
Vinnsla þessara spurninga og svara var styrkt af Evrópusambandinu - The European Union's Rights, Equality and Citizenship Programme (2014-2020)