Allar spurningar og svör

Þér er heimilt að andmæla vinnslu persónuupplýsinga er varðar þig sjálfan þegar vinnsla byggist á almannahagsmunum eða lögmætum hagsmunum.

Ábyrgðaraðili að vinnslu persónuupplýsinga getur verið einstaklingur, fyrirtæki, stjórnvald eða annar aðili. Hann getur samið við vinnsluaðila til að vinna fyrir sig á grundvelli samnings.

Er heimilt að birta tekjuupplýsingar einstaklinga og hvar má birta þær? 

Persónuupplýsingar barna njóta sérstakrar verndar, þar sem þau eru almennt síður meðvituð um áhættu og afleiðingar í tengslum við vinnslu slíkra upplýsinga sem og eigin réttindi.

Persónuverndarlög gilda um starfsemi dómstóla og annarra dómsyfirvalda en valdsvið eftirlitsyfirvalda nær ekki til þess þegar dómstólar fara með dómsvald sitt, meðal annars við birtingu dómsúrlausna á Netinu.

Þegar notaðir eru drónar til að taka myndir eða fylgjast með fólki þarf að gæta að persónuverndarlögum.

Einstaklingum er almennt heimilt að vakta sínar lóðir til að tryggja öryggi og eignir. Þó er ávallt rétt að gera viðvart um eftirlitsmyndavélarnar með merkingum og fræða þá sem fara reglulega um svæðið, en vöktun með leynd er almennt óheimil af hálfu einstaklinga. 

Ljóst er að þær sérstöku aðstæður sem sköpuðust í upphafi árs 2020 vegna kórónuveirufaraldursins hafa valdið því að menntastofnanir hafa þurft að fást við breytt starfs- og námsumhverfi. Í því umhverfi er mikilvægt að geta notað þær tæknilausnir sem til eru, bæði til heimanáms, kennslu, próftöku og samskipta skóla og heimilis.

Persónuvernd hefur því í kjölfar ábendinga og fyrirspurna sem hafa borist undanfarið, m.a. um fyrirkomulag prófa, uppfært leiðbeiningar sínar frá 24. mars 2020 um fjarkennslu.

Persónuverndarlöggjöfin gildir bara að takmörkuðu leyti um fréttamennsku í fjölmiðlum en í löggjöfinni er sérstök undantekning um fjölmiðlaumfjallanir. 

Hér má lesa álit Persónuverndar á persónuvernd og tjáningarfrelsi fjölmiðla.

Hér má lesa meira um það sem fellur utan við valdsvið Persónuverndar.

Þú átt rétt á að flytja eigin gögn sem þú hefur sjálfur afhent ábyrgðaraðila, t.d. til annars ábyrgðaraðila.

Fyrirtækjum og stjórnvöldum er almennt heimilt að flytja persónuupplýsingar innan EES en þegar þær eru fluttar út fyrir það svæði þá gilda sérstakar reglur.

Hljóðupptaka felur í sér vinnslu persónuupplýsinga ef unnt er að persónugreina þá einstaklinga sem teknir eru upp, t.d. ef þeir segja til nafns eða ef unnt er að ráða út frá efni upptökunnar um hverja ræðir.

Persónuvernd hefur almennt eftirlit með allri vinnslu persónuupplýsinga á Íslandi. Þó eru því eftirliti takmörk sett og er því hér að finna lista yfir atriði sem Persónuvernd getur ekki tekið afstöðu til. 

Hér reynum við að útskýra við hvaða aðstæður persónuverndarlögin eiga við og hvenær ekki.

Öll vinnsla persónuupplýsinga verður að byggjast á heimild í persónuverndarlögum. Það fer eftir tilgangi vinnslunnar hvaða heimild getur átt við í hvert sinn. Engin ein heimild er rétthærri, mikilvægari eða betri en önnur.

Notkun kennitölu er heimil ef hún á sér málefnalegan tilgang og er nauðsynleg til að tryggja örugga persónugreiningu. 

Stjórnmálaskoðanir þínar eru viðkvæmar persónuupplýsingar og um vinnslu þeirra gilda strangari reglur en um aðrar persónuupplýsingar. Ef persónuupplýsingar þínar eru skráðar hjá stjórnmálasamtökum, verður að upplýsa þig með skýrum hætti um hver sé tilgangur skráningar og hvernig eigi að nota upplýsingarnar. Sem dæmi má nefna að við skráningu netfanga verður að liggja fyrir hvort þau verða notuð til að senda félagsmönnum tölvupóst eða hvort nota eigi netföngin til að ná til þeirra á samfélagsmiðlum. Auk þess þarf að vera skýrt hver eða hverjir mega nota persónuupplýsingarnar.

Þú átt rétt til að fá óáreiðanlegar persónuupplýsingar sem varða þig sjálfan leiðréttar án ótilhlýðilegrar tafar. Þú getur einnig í vissum tilfellum átt rétt á því að upplýsingar um þig sem birtast á leitarvélum á netinu, t.d. Google, verði fjarlægðar.

Tiltekin vinnsla persónuupplýsinga er háð skriflegri heimild Persónuverndar.

Allt eru þetta viðkvæmar persónuupplýsingar sem má eingöngu vinna með í ákveðnum tilfellum, t.d. þegar samþykki liggur fyrir eða vegna verulegra almannahagsmuna, s.s. vegna vísindarannsókna, enda sé persónuvernd tryggð með ákveðnum ráðstöfunum.

Fyrirtækjum getur verið heimilt að hafa samband við þig en þú getur alltaf andmælt frekari samskiptum eða skráð þig á bannskrá Þjóðskrár.

Meginreglurnar sex eru oft kallaðar „gullnu reglurnar“ og þær eru taldar upp í persónuverndarlöggjöfinni. Meginreglurnar endurspeglast í mörgum ákvæðum löggjafarinnar, t.d. um réttindi einstaklinga.

Hér getur þú lesið þér til um réttindi þín og fleira sem við vonum að sé gagnlegt þegar kemur að þínum einkamálum. 

Gæta þarf að persónuverndarlögum þegar myndir af einstaklingum eru birtar á Netinu.

Persónuupplýsingar eru allar upplýsingar sem hægt er að tengja við þig sem einstakling, t.d. nafn, kennitala, staðsetningargögn, ljósmynd o.s.frv.

Vinnuveitandi getur þurft að vinna með ýmsar upplýsingar um starfsmenn, t.d. vegna launavinnslu og veikindaréttar. Alltaf þarf að gæta að því að starfsmenn fái fræðslu um hvaða upplýsingar er verið að vinna með og ganga ekki lengra en þörf er á.

Persónuverndarfulltrúi á að vera til staðar hjá öllum stofnunum, ráðuneytum og sveitarfélögum og ákveðnum fyrirtækjum. Hann hefur það hlutverk að fylgjast með því að fyrirtæki og stofnanir fari að persónuverndarlögum.

Hvað er það og má gera kröfu um að ég noti þau í vinnunni? 

Umsóknar- og ráðningarferli getur tekið tíma enda samanstendur það af nokkrum áföngum, allt frá því að staða er auglýst þar til ráðningarsamningur hefur verið gerður. Þörfin og þar með grundvöllur fyrir vinnslu persónuupplýsinga getur verið mismunandi eftir því hversu langt maður er kominn í ferlinu. 

Þú getur átt rétt á því að gleymast á Netinu, að vissum skilyrðum uppfylltum.

Samfélagsmiðlar gera þér kleift að hafa samskipti við aðra á Netinu. Við notkun þeirra er gott að hafa ávallt í huga þá söfnun persónuupplýsinga sem getur farið fram á slíkum miðlum.

Hver eru réttindi mín vegna skráninga í Schengen-gagnagrunna? 

Hvenær má taka sjálfvirka ákvörðun um mín mál? 

Sjálfvirk einstaklingsmiðuð ákvarðanataka er aðeins heimil með þínu samþykki, eða þegar hún forsenda þess að unnt sé að gera eða efna samning eða þegar heimild er fyrir henni samkvæmt lögum.

Einstaklingur eða umboðsmaður hans eiga að meginreglu rétt á aðgangi að sjúkraskrá sjúklingsins í heild eða að hluta og til að fá afhent afrit af henni ef þess er óskað.

Hvað er gott að hafa í huga? 

Skýjaþjónusta er notað þegar notendur, óháðir hver öðrum geta samnýtt tæknilega innviði til að hýsa gögn sín. 

Stjórnvöld þurfa eins og aðrir að hafa heimild samkvæmt persónuverndarlögum til að mega vinna með persónuupplýsingar og fara að meginreglum laganna um hvernig megi vinna persónuupplýsingar.

Flestum kvörtunum vegna tjáningar, þ.m.t. á samfélagsmiðlum, er vísað frá Persónuvernd og málsaðilum leiðbeint um að bera ágreininginn undir dómstóla. Ástæðan er sú að í slíkum málum reynir á mörk stjórnarskrárvarinna réttinda; tjáningarfrelsis annars vegar og friðhelgi einkalífs hins vegar.

Ef einstaklingur birtir upplýsingar úr gögnum eða gagnagrunnum sem hafa að geyma persónuupplýsingar getur Persónuvernd í ákveðnum tilvikum fjallað efnislega um málið, þó að birtingunni fylgi tjáning af einhverju tagi.

Hér má lesa álit Persónuverndar um tjáningu einstaklinga á Netinu.

Hér er hægt að lesa meira um þá þætti sem falla utan við valdsvið Persónuverndar. 

Gæta þarf að persónuverndarreglum þegar skoða þarf vinnupóst starfsmanna. Almennt er óheimilt að skoða einkatölvupóst starfsmanna nema brýna nauðsyn beri til.

Hvað þarf að hafa í huga við varðveislu persónuupplýsinga í tölvuskýjum? 

Undirskriftasafnanir geta falið í sér vinnslu persónuupplýsinga sem persónuverndarlögin gilda um. 

Þú átt rétt á því að fá að vita hvaða upplýsingar er verið að vinna með um þig. Ástæðan er einföld: Ef þú veist ekki hvaða upplýsingar er verið að vinna með um þig, þá getur þú ekki gætt annarra réttinda sem þú átt, t.d. að láta eyða upplýsingum eða leiðrétta þær. 

Persónuvernd er eftirlitsstjórnvald og hefur eftirlit með framkvæmd persónuverndarlaga, almennu persónuverndarreglugerðarinnar, sérákvæða í lögum sem fjalla um vinnslu persónuupplýsinga og annarra reglna um efnið. 

Stofnun valgreiðslukröfu í heimabanka þínum getur talist vinnsla persónuupplýsinga sem verður að styðjast heimild í persónuverndarlögum. 

Hverjir mega halda slíkar skrár og eftir hvaða reglum er unnið? 

Þegar notast er við vefkökur á vefsvæði þarf að fræða notendur síðunnar um að vinnsla persónuupplýsinga fari fram um þá með notkun vefkaka og í hvaða tilgangi.

Með miðlun upplýsinga um þjónustu- og viðgerðarsögu bifreiða getur átt sér stað vinnsla persónuupplýsinga sem þarf að styðjast við heimild í persónuverndarlögum.

Sá sem vinnur viðkvæmar persónuupplýsingar þarf að ákveða fyrirfram við hvaða heimild vinnslan styðst.

Orðið vinnsla er eitt af lykilhugtökum persónuverndarlöggjafarinnar. Með vinnslu er átt við aðgerð eða röð aðgerða þar sem persónuupplýsingar eru unnar, hvort sem vinnslan er sjálfvirk eða ekki.

Hvað er gott að vita þegar sækja á um leyfi til vísindarannsókna á heilbrigðissviði? 

Hvaða reglur gilda um þagnarskyldu og trúnað við meðferð persónuupplýsinga? 

Þegar unnið er með persónuupplýsingarnar þínar átt þú meðal annars rétt á að vita hver vinnur með þær, hvenær er verið að vinna með þær og til hvers? 

Hér verður farið betur yfir réttindi þín þegar kemur að vinnslu persónuupplýsinga. 

Þeir sem sæta vöktun með slíkum búnaði eiga ávallt rétt á fræðslu um tilgang, nauðsyn og réttindi einstaklingsins.

Þeir sem vinna með persónuupplýsingar verða að tryggja öryggi þeirra í hvívetna.

Ábyrgðaraðilar þurfa að tilkynna öryggisbresti til Persónuverndar og í ákveðnum tilfellum þarf að tilkynna einstaklingum um að öryggisbrestur hafi orðið.

Upplýsingar sem auðkenna okkur sem einstaklinga, eins og nafn, símanúmer og lykilorð eru persónuupplýsingar sem við deilum með bönkum, netverslunum og fleirum. Eftirfarandi leiðbeiningar eiga að hjálpa þér við að þekkja og draga úr áhættu á að þessar upplýsingar komist í hendur óviðkomandi og hvað gott er að gera ef þú kemst að því að þriðji aðili notar persónuupplýsingar þínar í leyfisleysi.