Almennt um tilkynningarskylda vinnslu
Almennt um tilkynningarskylduna
Meginreglan er sú að vinnsla persónuupplýsinga er tilkynningarskyld. Með því er átt við að alla jafna er skylt að tilkynna Persónuvernd um vinnsluna með því að fylla út og senda rafrænt eyðublað sem má nálgast með því að skrá sig inn hér. Tilkynningin er síðan færð í opinbera tilkynningarskrá sem er aðgengileg á þessari heimasíðu og er haldin lögum samkvæmt í því skyni að tryggja gegnsæi um vinnslu persónuupplýsinga. Hinn skráði getur þannig fengið nánari upplýsingar um það hvernig ábygrðaraðili vinnur með persónuupplýsingar um hann, en hann getur þó einnig snúið sér beint til ábyrgðaraðilans.
Þegar Persónuvernd hefur staðfest móttöku tilkynningar, birt hana í tilkynningarskránni eða þegar 15 dagar eru liðnir frá því að tilkynning var send er heimilt að hefja vinnsluna sem um ræðir. Það athugast þó að staðfesting og birting tilkynningar jafngildir ekki samþykki eða leyfi Persónuverndar. Tilkynningunum er fyrst og fremst ætlað að skapa gegnsæi.
Að tilkynna eða ekki tilkynna
Þú þarft ekki að tilkynna um:
-
Vinnslu upplýsinga sem á engan hátt er unnt að rekja til tiltekinna einstaklinga. Þetta á oft við um nafnlausar spurningakannanir, en athugaðu þó að það fer eftir atvikum hverju sinni, s.s. nákvæmni spurninga og stærð úrtaks. Ef spurningakönnun er t.d. lögð fyrir fámennan hóp sem er þannig samsettur að honum tilheyra fáir einstaklingur af öðru hvoru kyninu geta einfaldar spurningar, s.s. um aldur og starfsheiti, nægt til að unnt sé að rekja svörin til tiltekinna einstaklinga. Ef þú ert í vafa er betra að senda tilkynningu en ekki.
-
Handvirka vinnslu persónuupplýsinga
-
Vinnslu persónuupplýsinga sem varða almannaöryggi, landvarnir, öryggi ríkisins og starfsemi ríkisins á sviði refsivörslu. Ríkislögreglustjóri skal þó tilkynna Persónuvernd um þær skrár sem hann heldur og um þær skrár sem hann hefur heimilað lögreglustjórum að halda, nema Persónuvernd hafi ákveðið, í kjölfar kröfu ríkislögreglustjórans, að tilkynningin skuli ekki birt opinberlega þar sem birtingin kunni að stefna í hættu þeim löggæsluhagsmunum sem skránni er ætlað að þjóna.
-
Vinnslu persónuupplýsinga sem varða einkahagi þína eða eru einvörðungu ætlaðar til persónulegra nota.
-
Vinnslu persónuupplýsinga sem ekki eru viðkvæmar, ef vinnslan er eðlilegur þáttur í starfsemi þinni og tekur einungis til þeirra er tengjast starfi þínu og verksviði, s.s. viðskiptamanna eða félagsmanna.
-
Vinnslu persónuupplýsinga sem ekki eru viðkvæmar, ef vinnslan er nauðsynleg til efnda á lagaskyldum.
-
Vinnslu persónuupplýsinga sem ekki eru viðkvæmar, ef vinnslan er nauðsynleg til efnda á skyldum þínum samkvæmt samningi við hinn skráða eða samkvæmt samningi aðila vinnumarkaðarins
-
Vinnslu persónuupplýsinga sem ekki eru viðkvæmar, ef þær hafa verið gerðar og eru almenningi aðgengilegar. Þetta er háð því að ekki sé um að ræða samtengingu upplýsinga sem eru almennt aðgengilegar við aðrar upplýsingar sem ekki eru aðgengilegar.
-
Rafræna vöktun sem eingöngu fer fram í öryggis- og eignavörsluskyni, enda hafi skilyrðum laga um fræðslu og viðvaranir verið fullnægt sem og gildandi sérreglum um framkvæmd slíkrar vöktunar. Athugið að sé rafæn vöktun notuð í öðru skyni, t.d. til að fylgjast með vinnuskilum starfsmanna ber að tilkynna um hana.
Þú þarft hins vegar að tilkynna um alla aðra vinnslu persónuupplýsinga, þ. á m. um
- Alla vinnslu viðkvæmra persónuupplýsinga
- Vinnslu persónuupplýsinga um hegðun og mat á árangri einstaklinga, s.s. um einkunnir nemenda og frammistöðu starfsmanna
- Vinnslu persónuupplýsinga sem fram fer í þeim tilgangi að fella einstaklinga inn í tiltekið persónusnið
- Flutning ódulkóðaðra persónuupplýsinga úr landi
- Rafræna vöktun sem fram fer í verkstjórnartilgangi eða til að fylgjast með mætingum og vinnuskilum.
- Kerfisbundna hljóðritun símtala
Í undantekningartilvikum nægir ekki að tilkynna um vinnslu persónuupplýsinga heldur þarf að sækja um leyfi. Nánari upplýsingar um leyfisskylda vinnslu persónuupplýsinga er að finna hér.