Reglur nr. 712/2008 um tilkynningarskylda og leyfisskylda vinnslu persónuupplýsinga


I. KAFLI
Almenn ákvæði.

1. gr.
Gildissvið.

Reglur þessar gilda um leyfisskyldu vegna vinnslu persónuupplýsinga, um tilkynningarskyldu vegna rafrænnar vinnslu persónuupplýsinga og um undanþágur frá þeirri skyldu.

Reglur þessar taka ekki til vinnslu persónuupplýsinga sem varða almannaöryggi, landvarnir, öryggi ríkisins og starfsemi ríkisins á sviði refsivörslu, sbr. 2. mgr. 3. gr. laga nr. 77/2000. Um tilkynningarskyldu lögreglu fer samkvæmt reglugerð nr. 322/2001 um meðferð persónuupplýsinga hjá lögreglu.

Reglurnar gilda ekki um meðferð einstaklings á persónuupplýsingum sem eingöngu varða einkahagi hans eða eru einvörðungu ætlaðar til persónulegra nota, sbr. 2. mgr. 3. gr. laga nr. 77/2000.

Reglurnar gilda ekki um vinnslu persónuupplýsinga sem fer einvörðungu fram í þágu fréttamennsku.

2. gr.
Skilgreiningar.

Í reglum þessum er merking hugtaka sem hér segir:

1. Persónuupplýsingar, sbr. 1. tl. 2. gr. laga nr. 77/2000: Sérhverjar persónugreindar eða persónugreinanlegar upplýsingar um hinn skráða, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi.

2. Viðkvæmar persónuupplýsingar, sbr. 8. tl. 2. gr. laga nr. 77/2000:

a. Upplýsingar um uppruna, litarhátt, kynþátt, stjórnmálaskoðanir, svo og trúar- eða aðrar lífsskoðanir.

b. Upplýsingar um hvort maður hafi verið grunaður, kærður, ákærður eða dæmdur fyrir refsiverðan verknað.

c. Upplýsingar um heilsuhagi, þar á meðal um erfðaeiginleika, lyfja-, áfengis- og vímuefnanotkun.

d. Upplýsingar um kynlíf manna og kynhegðan.

e. Upplýsingar um stéttarfélagsaðild.

3. Almennar persónuupplýsingar: Persónuupplýsingar sem ekki teljast viðkvæmar í skilningi 2. tl.

4. Dulkóðun: Umbreyting orða eða talna í leynilegan kóða sem dylur merkingu þeirra.

5. Miðlæg skrá: Skrá með upplýsingum um alla einstaklinga hér á landi sem uppfylla ákveðin viðmið, óháð búsetu.

6. Rafræn vöktun: Vöktun sem er viðvarandi eða endurtekin reglulega og felur í sér eftirlit með fólki með fjarstýrðum eða sjálfvirkum rafrænum búnaði og leiðir, á að leiða eða getur leitt til vinnslu persónuupplýsinga.

7. Upplýst samþykki: Sérstök, ótvíræð yfirlýsing sem einstaklingur gefur af fúsum og frjálsum vilja um að hann sé samþykkur vinnslu tiltekinna upplýsinga um sig og að honum sé kunnugt um tilgang hennar, hvernig hún fari fram, hvernig persónuvernd verði tryggð, um að honum sé heimilt að afturkalla samþykki sitt o.s.frv.

8. Vinnsla: Sérhver aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur sem vinnslan er handvirk eða rafræn. Til vinnslu teljast m.a. söfnun, skráning, kerfisbinding, geymsla, aðlögun eða breyting, heimt, leit, notkun, miðlun með framsendingu, dreifing eða aðrar aðferðir til að gera upplýsingarnar tiltækar, samantenging eða samkeyrsla, aðgangstakmörkun, afmáun eða eyðilegging.

9. Ábyrgðaraðili, sbr. 4. tl. 2. gr. laga nr. 77/2000: Aðili sem ákveður tilgang vinnslu persónuupplýsinga, þann búnað sem notaður er, aðferð við vinnsluna og aðra ráðstöfun upplýsinganna.

10. Vinnsluaðili, sbr. 5. tl. 2. gr. laga nr. 77/2000: Aðili sem vinnur persónuupplýsingar á vegum ábyrgðaraðila.

3. gr.
Ábyrgð ábyrgðaraðila.

Sé vinnsla persónuupplýsinga háð leyfi frá Persónuvernd, skv. ákvæðum laga eða reglna þessara, ber ábyrgðaraðili vinnslu ábyrgð á því að sækja um slíkt leyfi og haga vinnslunni ávallt í samræmi við útgefið leyfi. Sé vinnsla tilkynningarskyld, skv. ákvæðum laga eða reglna þessara, ber ábyrgðaraðili vinnslu ábyrgð á því að Persónuvernd berist tilkynning um hana og að vinnslu sé ávallt hagað í samræmi við innsenda tilkynningu.

Eftirlit Persónuverndar haggar í engu ábyrgð ábyrgðaraðila á vinnslu persónuupplýsinga. Þótt Persónuvernd geri ekki athugasemdir við innsenda tilkynningu hefur það ekki þýðingu fyrir mat á lögmæti vinnslunnar.

II. KAFLI
Leyfisskyld vinnsla persónuupplýsinga.

4. gr.
Leyfisskyld vinnsla persónuupplýsinga.

Eftirfarandi vinnsla persónuupplýsinga er háð skriflegri heimild Persónuverndar:

1. Samkeyrsla skráar sem hefur að geyma viðkvæmar persónuupplýsingar við aðra skrá, hvort sem sú hefur að geyma almennar eða viðkvæmar persónuupplýsingar. Slík samkeyrsla er þó ekki leyfisskyld:

a. ef einvörðungu er samkeyrt við upplýsingar úr þjóðskrá um nafn, kennitölu, fyrirtækjanúmer, heimilisfang, aðsetur og póstnúmer, eða

b. ef samkeyrðar eru skrár sama ábyrgðaraðila, þó að undanskildum miðlægum skrám sem innihalda viðkvæmar persónuupplýsingar.

2. Vinnsla persónuupplýsinga sem tengist framkvæmd vísindarannsóknar þar sem unnið er með erfðaefni manns nema aðeins sé unnið með hluta af erfðaefni þannig að það verði ekki rakið til tiltekins manns.

3. Vinnsla upplýsinga um refsiverðan verknað manns og sakaferil, upplýsingar um lyfja-, áfengis- og vímuefnanotkun, kynlíf og kynhegðan, nema vinnslan sé nauðsynlegur og eðlilegur þáttur í starfsemi viðkomandi aðila.

4. Söfnun persónuupplýsinga um fjárhagsmálefni og lánstraust einstaklinga í þeim tilgangi að miðla þeim til annarra.

5. Vinnsla upplýsinga um félagsleg vandamál manna eða önnur einkalífsatriði, s.s. hjónaskilnaði, samvistarslit, ættleiðingar og fóstursamninga, nema vinnslan sé nauðsynlegur og eðlilegur þáttur í starfsemi viðkomandi aðila.

6. Vinnsla persónuupplýsinga sem felur í sér að nafn manns er fært á skrá eftir fyrirfram ákveðnum viðmiðum og upplýsingunum miðlað til þriðja aðila í því skyni að neita manninum um tiltekna fyrirgreiðslu eða þjónustu.

7. Miðlun viðkvæmra persónuupplýsinga í þágu vísindarannsóknar, enda standi ábyrgðaraðili þeirra upplýsinga sem miðlað er ekki að framkvæmd rannsóknarinnar.

[8. Miðlun viðkvæmra persónuupplýsinga, sem varðveittar eru hjá stjórnvöldum, í þágu rannsókna. Hið sama á við ef miðlun felur í sér sérstaka hættu á að farið verði í bága við réttindi og frelsi skráðra aðila. Persónuvernd getur ákveðið að leyfisskylda stjórnvalds falli brott þegar settar hafa verið almennar reglur og öryggisstaðlar sem fylgja skal við slíka miðlun.]4

Þrátt fyrir ákvæði 1. mgr. er vinnsla persónuupplýsinga ekki háð heimild Persónuverndar byggi hún á upplýstu samþykki eða fyrirmælum laga. [Þá þarf ekki leyfi til vinnslu persónuupplýsinga um látna menn í tengslum við framkvæmd vísindarannsókna þar sem unnið er með erfðaefni þeirra (DNA), enda sé:

  • Ekki um að ræða upplýsingar sem falla undir 2. tölul. 2. gr. reglna þessara.
  • Vinnslu hagað í samræmi við reglur nr. 1100/2008.
  • Ljóst að hinn skráði hafi hvergi með sannanlegum hætti andmælt vinnslu persónu­upplýsinga um sig í þágu vísindarannsókna.]1)

[Aðgangur að sjúkraskrám vegna vísindarannsókna er ávallt háður leyfi Persónuverndar, sbr. 15. gr. laga um réttindi sjúklinga nr. 74/1997.]2) [Hið sama gildir um aðgang að lífsýnum í lífsýnasöfnum í sama skyni, sbr. 3. mgr. 9. gr. laga um lífsýnasöfn nr. 110/2000.]3)

1) Reglur nr. 423/2010, 1. gr.

2) Reglur nr. 927/2009, 1. gr.

3) Reglur nr. 423/2010, 2. gr.

4) Reglur nr. 548/2013, 1. gr.

III. KAFLI
Tilkynningarskyld vinnsla persónuupplýsinga.

5. gr.
Tilkynningarskyld vinnsla viðkvæmra persónuupplýsinga.

Rafræn vinnsla viðkvæmra persónuupplýsinga er tilkynningarskyld nema hún sé leyfisskyld samkvæmt ákvæði 4. gr. Þó er stjórnmálaflokkum, trúfélögum, stéttarfélögum og öðrum sambærilegum aðilum sem starfa ekki í hagnaðarskyni ekki skylt að tilkynna vinnslu viðkvæmra persónuupplýsinga um félagsmenn sína, enda teljist vinnslan eðlilegur þáttur í lögmætri starfsemi þessara aðila.

6. gr.
Tilkynningarskyld vinnsla almennra persónuupplýsinga.

 

Rafræn vinnsla almennra persónuupplýsinga er tilkynningarskyld. Vinnsla er þó ekki tilkynningarskyld ef hún:

1. Er háð leyfi Persónuverndar samkvæmt ákvæði 4. gr.

2. Er nauðsynlegur, eðlilegur og venjubundinn þáttur í starfsemi viðkomandi aðila og taki einungis til þeirra er tengjast starfi hans eða verksviði, svo sem viðskiptamanna, starfsmanna eða félagsmanna.

3. Er ábyrgðaraðila nauðsynleg til efnda á lagaskyldum.

4. Er ábyrgðaraðila nauðsynleg til efnda á skyldum hans samkvæmt samningi við hinn skráða eða samkvæmt samningi aðila vinnumarkaðarins.

5. Lýtur að upplýsingum sem gerðar hafa verið og eru almenningi aðgengilegar, enda sé ekki um að ræða vinnslu sem felst í því að tengja upplýsingar saman og nota almennt aðgengilegar upplýsingar með öðrum persónuupplýsingum sem ekki hafa verið gerðar aðgengilegar.

Skylt er að tilkynna vinnslu persónuupplýsinga um hegðun og mat á árangri einstaklinga, s.s. frammistöðumat starfsmanna, vinnslu persónuupplýsinga sem fer fram í þeim tilgangi að fella einstaklinga inn í persónusnið eða kerfisbundna hljóðritun símtala.

7. gr.
Vinnsla sem fram fer með rafrænni vöktun.

 

Ábyrgðaraðila að vinnslu sem fram fer með rafrænni vöktun ber að senda Persónuvernd tilkynningu um hana. Það á þó ekki við sé vöktunin nauðsynleg, fari einungis fram í öryggis- og eignavörsluskyni, þeir sem eru vaktaðir, s.s. nemendur eða starfsmenn, hafi fengið fræðslu um vöktunina í samræmi við 20. gr. laga nr. 77/2000 og aðrir hafi fengið viðvaranir í samræmi við 24. gr. sömu laga. Að öðru leyti fer um úrvinnslu efnis, s.s. hljóð- eða myndefnis, sem til verður við rafræna vöktun samkvæmt 4., 5. og 6. gr. reglna þessara.

[Ekki er skylt að senda Persónuvernd tilkynningu um sjálfvirka og óhjákvæmilega vöktun sem fram fer á netþjónum á vinnustöðum og í skólum.]4)

4) Reglur nr. 927/2009, 2. gr.

8. gr.
Hvenær má hefja vinnslu.

 

Ábyrgðaraðili skal senda Persónuvernd tilkynningu um vinnslu tímanlega áður en hún hefst. Honum er heimilt að hefja vinnslu um leið og tilkynning hefur verið send en skal stöðva hana berist honum tilmæli frá Persónuvernd þar að lútandi.

Heimilt er að hefja leyfisskylda vinnslu þegar skriflegt leyfi Persónuverndar er komið til ábyrgðaraðila.

9. gr.
Form og efni tilkynninga.

 

Tilkynningu til Persónuverndar skal koma á framfæri á þar til gerðu eyðublaði sem er að finna á heimasíðu Persónuverndar, eða á prentuðu eyðublaði sem liggur frammi á skrifstofu Persónuverndar.

Í samræmi við 32. gr. laga nr. 77/2000 skal í tilkynningu tilgreina eftirfarandi atriði:

1. nafn og heimilisfang ábyrgðaraðila og, eftir atvikum, fulltrúa hans sem hefur staðfestu hér á landi skv. 5. mgr. 6. gr. laga nr. 77/2000;

2. hver ber daglega ábyrgð á að uppfylla skyldur ábyrgðaraðila;

3. tilgang vinnslunnar;

4. skilgreiningu og aðra lýsingu á þeim tegundum upplýsinga sem notaðar verða við vinnslu;

5. hvert upplýsingarnar eru sóttar;

6. þá heimild sem stendur til söfnunar upplýsinganna;

7. hverjum upplýsingarnar verða afhentar;

8. hvort ráðgert sé að flytja persónuupplýsingarnar úr landi;

9. hvort ráðgert sé að birta upplýsingarnar á netinu;

10. hvaða öryggisráðstafanir verða viðhafðar í vinnslunni;

11. hvort og hvenær persónuupplýsingum eða persónuauðkennum verði eytt;

12. hvernig uppfyllt séu fyrirmæli 20. og 21. gr. laga nr. 77/2000 um fræðsluskyldu.

Þar skal og koma fram hvort um sé að ræða nýja tilkynningu eða tilkynningu um breytingu á vinnslu. Sé um að ræða tilkynningu um breytingu skal tilgreina númer eldri tilkynningar. Í tilkynningu skal og tilgreina kennitölu tilkynnanda. Verði vinnsla falin vinnsluaðila, í heild eða að hluta til, skal og tilgreina kennitölu hans og skyldur hans samkvæmt samningi hans og ábyrgðaraðila.

10. gr.
Breytingar á tilkynntri vinnslu.

 

Verði breytingar á tilkynntri vinnslu, s.s. ef unnið er með aðra tegund upplýsinga, upplýsingarnar afhentar öðrum eða gerðar tiltækar á annan hátt en tilgreint var í hinni upphaflegu tilkynningu, eða þær notaðar á annan hátt, t.d. með samtengingu, eða í öðrum tilgangi en þeim upphaflega, skal senda Persónuvernd nýja tilkynningu þannig að stofnunin hafi á hverjum tíma réttar upplýsingar um vinnsluna.

IV. KAFLI
Um flutning persónuupplýsinga úr landi.

 

11. gr.
Leyfisskyldur flutningur persónuupplýsinga úr landi.

Flutningur persónuupplýsinga til ríkis sem telst veita fullnægjandi vernd samkvæmt lögum nr. 77/2000, er ekki tilkynningarskyldur.

Flutningur persónuupplýsinga til ríkis sem ekki telst veita persónuupplýsingum fullnægjandi vernd er háður skriflegri heimild Persónuverndar, enda hafi ábyrgðaraðili veitt nægilegar tryggingar fyrir vernd upplýsinganna. Þetta gildir ekki ef undanþáguákvæði í lögum nr. 77/2000 heimila slíkan flutning. Að öðru leyti fer um flutninginn eftir V. kafla þeirra laga.

V. KAFLI
Önnur ákvæði.

 

12. gr.
Eftirlit.

 

Persónuvernd fer með eftirlit með framkvæmd reglna þessara. Um heimildir Persónuverndar fer samkvæmt ákvæðum laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga.

13. gr.
Gildistaka o.fl.

 

Reglur þessar, sem settar eru samkvæmt heimild í 2. mgr. 30. gr., 3. mgr. 31. gr., 2. mgr. 32. gr. og 33. gr. laga nr. 77/2000, um persónuvernd og meðferð persónu­upplýsinga, öðlast þegar gildi.

 

Persónuvernd, 19. apríl 2010.

*Breytt með reglum 927/2009.

*Breytt með reglum 423/2010.

*Breytt með reglum 548/2013.