10

Beint í leiðarkerfi vefsins.

Reglur nr. 698/2004 um tilkynningarskylda og leyfisskylda vinnslu persónuupplýsinga

1. gr.
Gildissvið

Reglur þessar gilda um tilkynningarskyldu vinnslu persónuupplýsinga samkvæmt lögum nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga, um undanþágur frá þeirri skyldu og um leyfisskylda vinnslu persónuupplýsinga.

Vinnsla einstaklings á persónuupplýsingum sem eingöngu varða einkahagi hans eða er ætluð til persónulegra nota fellur utan gildissviðs reglna þessara. Sama á við um vinnslu sem fram fer í tengslum við rannsókn eða könnun þar sem skráðar upplýsingar eru hvorki merktar með persónuauðkennum, númerum né öðrum rekjanlegum auðkennum.

Um tilkynningaskyldu lögreglu fer samkvæmt reglugerð nr. 794/2000 um meðferð persónuupplýsinga hjá lögreglu.

2. gr.
Tilkynningarskylda

Ábyrgðaraðili skv. 4. tl. 1. mgr. 2. gr. laga nr. 77/2000 skal tilkynna Persónuvernd um sérhverja rafræna vinnslu persónuupplýsinga sem hann framkvæmir eða fer fram á hans vegum. Hann ber að lögum ábyrgð á því að vinnslu persónuupplýsinga sé ávallt hagað í samræmi við efni tilkynningar til Persónuverndar og lög nr. 77/2000.

Senda skal tilkynningu í upphafi fyrstu vinnslu en ekki í hvert skipti sem hún fer fram. Verði breytingar á tilkynntri vinnslu, s.s. ef unnið er með aðra tegund upplýsinga, upplýsingarnar afhentar öðrum eða gerðar tiltækar á annan hátt en tilgreint var í hinni upphaflegu tilkynningu, eða þær notaðar á annan hátt, t.d. með samtengingu, eða í öðrum tilgangi en þeim upphaflega, skal senda Persónuvernd nýja tilkynningu þannig að stofnunin hafi á hverjum tíma réttar upplýsingar um vinnsluna.

3. gr.
Form og efni tilkynninga

Tilkynningu til Persónuverndar má koma á framfæri á þar til gerðu eyðublaði, sem er að finna á heimasíðu Persónuverndar, eða á prentuðu eyðublaði sem liggur frammi á skrifstofu Persónuverndar.

Í tilkynningu skal tilgreina öll þau atriði sem greinir í 1. mgr. 32. gr. laga nr. 77/2000. Þar skal og koma fram hvort um sé að ræða nýja tilkynningu eða tilkynningu um breytingu á vinnslu. Sé um að ræða tilkynningu um breytingu skal tilgreina númer eldri tilkynningar. Í tilkynningu skal og tilgreina kennitölu ábyrgðaraðila. Verði vinnsla falin vinnsluaðila, í heild eða að hluta til, skal og tilgreina kennitölu hans og skyldur hans samkvæmt samningi hans og ábyrgðaraðila.

4. gr.
Hvenær er heimilt að hefja
vinnslu persónuupplýsinga

Vinnsla persónuupplýsinga er því aðeins heimil að hún byggist á 8. eða 9. gr. laga nr. 77/2000. Það ræðst af því hvort vinnsla er leyfisskyld eða tilkynningarskyld hvenær heimilt er að hefja hana.

Heimilt er að hefja leyfisskylda vinnslu þegar skriflegt leyfi Persónuverndar er komið til ábyrgðaraðila.

Heimilt er að hefja tilkynningarskylda vinnslu þegar ábyrgðaraðila hefur borist staðfesting frá Persónuvernd um móttöku tilkynningarinnar. Honum er þó ávallt heimilt að hefja vinnslu þegar liðnir eru 15 dagar frá því að hann sendi tilkynninguna. Honum er hins vegar óheimilt að hefja vinnslu hafi honum, innan umrædds frests, borist tilmæli Persónuverndar þess efnis.

Persónuvernd getur hvenær sem er stöðvað vinnslu sem hún telur vera ólögmæta eða sett skilmála fyrir því að henni megi halda áfram, sbr. 40. og 35. gr. laga nr. 77/2000.

Vinnslu persónuupplýsinga, sem hvorki er tilkynningarskyld né leyfisskyld, má hefja hvenær sem er.

5. gr.
Undanþágur frá tilkynningarskyldu
almennra persónuupplýsinga

Ekki er skylt að tilkynna um vinnslu almennra persónuupplýsinga sem:

1. Er eðlilegur þáttur í starfsemi viðkomandi aðila og tekur einungis til þeirra er tengjast starfi hans eða verksviði, svo sem viðskiptamanna, starfsmanna eða félagsmanna.
2. Er ábyrgðaraðila nauðsynleg til efnda á lagaskyldum.
3. Er ábyrgðaraðila nauðsynleg til efnda á skyldum hans samkvæmt samningi við hinn skráða eða samkvæmt samningi aðila vinnumarkaðarins.
4. Aðeins felst í vinnslu persónuupplýsinga sem gerðar hafa verið og eru almenningi aðgengilegar, enda sé ekki um að ræða vinnslu sem felst í því að tengja upplýsingar saman og nota almennt aðgengilegar upplýsingar með öðrum persónuupplýsingum sem ekki hafa verið gerðar aðgengilegar.
5. Telst til rafrænnar vöktunar, sem eingöngu fer fram í öryggis- og eignavörsluskyni, enda hafi skilyrðum laga um fræðslu og viðvaranir verið fullnægt sem og gildandi sérreglum um framkvæmd slíkrar vöktunar.
6. Er að öllu leyti handunnin.

[Undanþágur frá tilkynningarskyldu skv. 1. mgr. gilda ekki um rafræna vinnslu:

  1. Persónuupplýsinga um hegðun og mat á árangri einstaklinga, s.s. um einkunnir nemenda og frammistöðu starfsmanna.
  2. Persónuupplýsinga sem fram fer í þeim tilgangi að fella einstaklinga inn í tiltekið persónusnið, skv. 23. gr. laga nr. 77/2000.
  3. Persónuupplýsinga sem verða til við rafræna vöktun sem fram fer í verkstjórnartilgangi eða til að fylgjast með mætingum og vinnuskilum.
  4. Sem felur í sér flutning ódulkóðaðra persónuupplýsinga úr landi.
  5. Sem felur í sér kerfisbundna hljóðritun símtala.]1)

1) Reglur nr. 836/2006

6. gr.
Tilkynningarskyld vinnsla
viðkvæmra persónuupplýsinga

Vinnsla viðkvæmra persónuupplýsinga, sem ekki er leyfisskyld skv. 7. gr., er tilkynningarskyld.

7. gr.
Leyfisskyld vinnsla persónuupplýsinga

Óheimilt er að hefja eftirtalda vinnslu persónuupplýsinga fyrr en fyrir liggur skriflegt leyfi Persónuverndar, sem hún veitir að fenginni umsókn frá ábyrgðaraðila. Þetta á við um:

1. Vinnslu sem felst í samkeyrslu skráar sem hefur að geyma viðkvæmar persónuupplýsingar við aðra skrá, hvort sem sú hefur að geyma almennar eða viðkvæmar persónuupplýsingar. Slík samkeyrsla er þó ekki leyfisskyld byggi hún á fyrirmælum laga eða ef einvörðungu eru samkeyrðar upplýsingar úr Þjóðskrá um nafn, kennitölu, fyrirtækjanúmer, heimilisfang, aðsetur og póstnúmer. Sama á við ef samkeyrðar eru skrár sama ábyrgðaraðila eða samkeyrslan byggist á upplýstu samþykki.
2. Vinnslu sem tengist framkvæmd vísindarannsóknar þar sem unnið er með erfðaefni manns. Þetta á þó ekki við ef aðeins er unnið með hluta af erfðaefni þannig að það verði ekki rakið til tiltekins manns.
3. Vinnslu upplýsinga um refsiverðan verknað manns og sakaferil, upplýsingar um lyfja-, áfengis- og vímuefnanotkun, kynlíf og kynhegðan, nema vinnslan sé nauðsynlegur og eðlilegur þáttur í starfsemi viðkomandi aðila eða byggist á upplýstu samþykki hins skráða.
[4. Söfnun og miðlun persónuupplýsinga um fjárhagsstöðu og lánstraust einstaklinga. Ef slík vinnsla fer hins vegar aðeins fram í þágu tölfræðilegs mats á lánshæfi einstaklinga, þ.e. til vinnslu lánshæfiseinkunnar, er hún ekki háð leyfi Persónu­verndar, byggi hún á upplýstu og óþvinguðu samþykki hinna skráðu.]1
5. Vinnslu upplýsinga um félagsleg vandamál manna eða önnur einkalífsatriði, s.s. hjónaskilnaði, samvistarslit, ættleiðingar og fóstursamninga, nema vinnslan sé nauðsynlegur og eðlilegur þáttur í starfsemi viðkomandi aðila eða byggist á upplýstu samþykki hinna skráðu.

Þrátt fyrir ákvæði 1. mgr. er slík vinnsla persónuupplýsinga ekki leyfisskyld, byggi hún á fyrirmælum laga.

1) Reglur nr. 1042/2006

8. gr.
Gildistaka o.fl.

Reglur þessar, sem settar eru samkvæmt heimild í 31., 32. og 33. gr. laga nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga, öðlast þegar gildi. Við gildistöku þeirra falla úr gildi reglur nr. 90/2001 um tilkynningarskylda og leyfsisskylda vinnslu persónuupplýsinga.

Í Persónuvernd, 12. ágúst 2004

*Breytt með reglum nr. 836/2006 og reglum nr. 1042/2006

 
 

home

 

Vinstra efraval

Hægra efraval

Persónuvernd | Rauðarárstíg 10, 105 Reykjavík, Ísland | Sími: 510 9600 | Fax: 510 9606 | Kennitala : 560800-2820                                                                                    postur [hjá] personuvernd.is

Útlit síðu: