Aðgangsréttur

Hvað er aðgangsréttur?

Þú átt rétt á að fá upplýsingar um það hvort fyrirtæki eða stjórnvald, eða annar aðili sem vinnur með persónuupplýsingar, vinnur með persónuupplýsingar um þig. Vinnsla persónuupplýsinga getur meðal annars falist í söfnun þeirra, notkun og varðveislu.

Þessi réttur nefnist rétturinn til aðgangs, eða aðgangsréttur. Í honum felst réttur til þess að fá:

• staðfestingu á því að unnið sé með persónuupplýsingarnar þínar,
• afrit af þeim persónuupplýsingum um þig sem unnið er með, og
• aðrar upplýsingar um vinnsluna, þ.e. tilgang vinnslu; viðkomandi flokka persónuupplýsinga; viðtakendur eða flokka viðtakenda; hversu lengi er fyrirhugað að varðveita persónuupplýsingarnar eða þær viðmiðanir sem notaðar eru til að ákveða það; upplýsingar um rétt til leiðréttingar, eyðingar, takmörkunar og að andmæla; réttinn til að leggja fram kvörtun hjá eftirlitsyfirvaldi (Persónuvernd); allar fyrirliggjandi upplýsingar um uppruna upplýsinganna ef þær koma frá öðrum en þér, og hvort fram fari sjálfvirk ákvarðanataka, þ.m.t. gerð persónusniðs, og marktækar upplýsingar um þau rök sem þar liggja að baki og einnig þýðingu og fyrirhugaðar afleiðingar slíkrar vinnslu fyrir þig.

Hvernig nýti ég aðgangsréttinn?

Þú getur sent viðkomandi fyrirtæki eða stjórnvaldi beiðni um aðgang að persónuupplýsingum um þig. Beiðnina má setja fram munnlega eða skriflega. Ef beiðninni er komið á framfæri munnlega er þó mælt með því að fylgja henni eftir skriflega, til dæmis með því að senda tölvupóst. Ástæða þessa er sú að það getur einfaldað ferlið þegar hægt er að rekja á auðveldan hátt hvað var beðið um og hvenær. Þá má benda á að sum fyrirtæki og stjórnvöld bjóða upp á stöðluð eyðublöð eða sérstakar réttindagáttir fyrir aðgangsbeiðnir, sem hægt er að nota. Ekki er þó skylt að nota slík eyðublöð eða gáttir þótt þau séu til.

Áður en þú sendir beiðni um aðgang þarftu að ákveða:

• hvert á að senda beiðnina, og
• hvaða upplýsingum þú vilt óska eftir.

Beiðni um aðgang skal beint að því fyrirtæki eða stjórnvaldi sem ber ábyrgð að vinnslu persónuupplýsinganna. Mælt er með því að tilgreina með skýrum hætti hvers er óskað.

Ef þú hefur ekki áhuga á að fá aðgang að öllum persónuupplýsingum um þig sem unnið er með hjá viðkomandi fyrirtæki/stjórnvaldi er ráðlegt að afmarka aðgangsbeiðnina, og tilgreina með skýrum hætti hvaða upplýsingar það eru sem óskað er eftir aðgangi að. Slíkt kann jafnframt að flýta fyrir afgreiðslu hennar í einhverjum tilvikum, einkum þegar vinnsla persónuupplýsinga hjá viðkomandi fyrirtæki/stjórnvaldi er mjög umfangsmikil.

Eins og áður kom fram er aðgangsrétturinn þríþættur, en í honum felst nánar tiltekið réttur til að fá staðfestingu á því að unnið sé með persónuupplýsingarnar þínar; réttur til að fá afrit af þeim persónuupplýsingum um þig sem unnið er með; og réttur til að fá aðrar upplýsingar um vinnsluna.

Hægt er að nýta aðgangsréttinn að öllu leyti eða að hluta, eftir því sem óskað er hverju sinni. Til að mynda kann það að henta vel í einhverjum tilvikum að óska eftir upplýsingum um vinnsluna áður en tekin er ákvörðun um að óska eftir afriti af persónuupplýsingunum.

Beiðni um aðgang ættu almennt að fylgja eftirfarandi upplýsingar:

• Nafn þitt og tengiliðaupplýsingar (svo sem netfang, símanúmer, heimilisfang)
• Upplýsingar sem fyrirtækið/stjórnvaldið notar til þess að greina á milli þín og annarra einstaklinga sem bera sama nafn, ef um slíkt er að ræða (þetta geta til dæmis verið bankanúmer eða kennitala),
• Aðrar upplýsingar sem geta komið að gagni við afgreiðslu beiðninnar (til dæmis upplýsingar um dagsetningar eða tímabil sem aðgangsbeiðnin tekur til).

Sem dæmi má nefna að í aðgangsbeiðni mætti tilgreina að óskað sé eftir upplýsingum um tölvupóstsamskipti milli nánar tilgreindra einstaklinga á ákveðnu tímabili, eða upptökum úr eftirlitsmyndavél á nánar tilgreindum stað og frá tilteknum degi. 

Hversu langan tíma tekur að afgreiða aðgangsbeiðni?

Aðgangsbeiðnum á að svara án ótilhlýðilegrar tafar og eigi síðar en innan mánaðar frá því að beiðnin barst fyrirtækinu/stjórnvaldinu.

Þennan frest má þó lengja um tvo mánuði til viðbótar ef þörf er á, með hliðsjón af fjölda beiðna sem bíða afgreiðslu og því hversu flóknar þær eru. Ef þessi heimild til framlengingar er nýtt ber fyrirtækinu/stjórnvaldinu að tilkynna þér um það innan mánaðar frá því að beiðnin barst, og greina jafnframt frá ástæðunum fyrir töfinni.

Ef ekki er orðið við aðgangsbeiðninni skal fyrirtækið/stjórnvaldið, án tafar og í síðasta lagi innan mánaðar frá viðtöku beiðninnar, tilkynna þér um ástæðurnar fyrir því að það var ekki gert og um möguleikann á að leggja fram kvörtun hjá Persónuvernd.

Þá skal tekið fram að þegar beiðni um aðgang að persónuupplýsingum er beint að fjárhagsupplýsingastofu getur í sumum tilvikum verið skylt að veita svar innan tveggja vikna.

Er hægt að óska eftir aðgangi að persónuupplýsingum sínum oftar en einu sinni?

Hægt er að óska eftir aðgangi að persónuupplýsingunum sínum oftar en einu sinni. Þó skal tekið fram að fyrirtækið/stjórnvaldið sem um ræðir getur í vissum tilvikum neitað að verða við beiðni um aðgang að persónuupplýsingum, en það á t.d. við þegar beiðnin er augljóslega tilefnislaus eða óhófleg, einkum vegna endurtekningar. Þegar svo háttar til er jafnframt heimilt að setja upp sanngjarnt gjald með tilliti til stjórnsýslukostnaðar við upplýsingagjöfina.

Ef þú ert að hugsa um að óska eftir aðgangi að persónuupplýsingum um þig, sem þú hefur áður fengið aðgang að, getur verið gott að líta til eftirfarandi atriða:

• hversu líklegt er að upplýsingarnar hafi tekið breytingum frá því að aðgangur var síðast veittur,
• hvort nægur tími er liðinn síðan aðgangur var síðast veittur til þess að það geti talist ásættanlegt að óska eftir nýjum upplýsingum um vinnslu persónuupplýsinga þinna,
• hvort fyrirtækið/stjórnvaldið hefur gert breytingar á starfsemi sinni, sem viðkoma vinnslu persónuupplýsinga, nýlega.

 Hvað get ég gert ef ég er ósátt/ósáttur við afgreiðslu á aðgangsbeiðni minni?

Ef þú ert ósátt/ósáttur við það hvernig fyrirtæki eða stjórnvald hefur brugðist við beiðni þinni um aðgang, og frekari samskipti við fyrirtækið/stjórnvaldið hafa engar úrbætur í för með sér, getur þú sent Persónuvernd formlega kvörtun. Kvörtunareyðublað, ásamt upplýsingum um kvörtunarferlið, má nálgast undir flipanum „Hafa samband“ hér efst á vefsíðunni.

Einnig er öllum frjálst að bera ágreining af þessu tagi undir dómstóla.

Getur fyrirtæki eða stjórnvald krafist viðbótarupplýsinga frá mér áður en beiðni um aðgang er afgreidd?

Það fyrirtæki eða stjórnvald, sem aðgangsbeiðninni er beint að, getur í einhverjum tilvikum þurft að óska eftir viðbótarupplýsingum frá þér til þess að afgreiða aðgangsbeiðnina þína. Þetta getur til dæmis verið nauðsynlegt til þess að hægt sé að finna þær persónuupplýsingar sem um ræðir.

 Þarf ég að sýna skilríki til þess að fá aðgang að persónuupplýsingum um mig?

Ef verulegur vafi leikur á því hver sá einstaklingur er, sem leggur fram beiðni um aðgang að persónuupplýsingum, er hægt að fara fram á að veittar séu nauðsynlegar viðbótarupplýsingar til þess að staðfesta deili á honum. Fyrirtæki og stjórnvöld þurfa þó ávallt að hafa meginreglu persónuverndarlaganna um meðalhóf í huga og biðja ekki um ítarlegri eða meiri upplýsingar en þörf er á í framangreindum tilgangi.

Sé viðbótarupplýsinga þörf er æskilegt að óskað sé eftir þeim sem fyrst.

Hvernig á að veita aðgang að persónuupplýsingunum?

Fyrirtæki eða stjórnvald, sem fær í hendur beiðni frá þér um aðgang að persónuupplýsingum þínum, á að láta í té afrit af þeim persónuupplýsingum sem unnið er með. Ef aðgangsbeiðnin er sett fram rafrænt skulu upplýsingarnar látnar í té með rafrænu sniði sem almennt er notað, nema þú farir fram á annað.

Ef upplýsingarnar eru veittar rafrænt eru því ekki aðrar kröfur gerðar til fyrirtækisins/stjórnvaldsins en þær að notast sé við rafrænt snið sem er „almennt notað“. Þú getur hins vegar óskað eftir öðrum afhendingarmáta, svo sem að fá gögn afhent á pappírsformi eða að upplýsingar séu veittar munnlega, þegar slíkt er mögulegt.

Hvenær má neita beiðni um aðgang?

Í stuttu máli getur réttur þinn til aðgangs að persónuupplýsingum um þig verið takmarkaður í eftirfarandi tilvikum:

• Brýnir hagsmunir annarra eða jafnvel þínir eigin vega þyngra en að veita aðganginn;
• Ef beiðni er augljóslega tilefnislaus eða óhófleg, einkum vegna endurtekningar;
• Ef vinnsla fer aðeins fram í þágu vísinda, sagnfræði, í tölfræðilegum tilgangi eða vegna skjalavistunar í þágu almannahagsmuna, að svo miklu leyti sem réttindin geri það ómögulegt eða hamli því verulega að ná markmiðum með vinnslunni;
• Vegna þjóðaröryggis, landvarna, almannaöryggis;
• Til að koma í veg fyrir, rannsaka, koma upp um eða saksækja fyrir refsiverð brot eða fullnægja refsiviðurlögum;
• Vegna annarra mikilvægra markmiða sem þjóna almannahagsmunum, t.d. vegna gjaldeyrismála, fjárlaga, skattamála, lýðheilsu og almannatrygginga.
• Til að tryggja þína vernd, brýna almannahagsmuni eða grundvallarréttindi annarra;
• Vegna einkaréttarlegra krafna;
• Til að fullnægja ákvæðum laga um þagnarskyldu.
• Um er að ræða vinnuskjöl hjá fyrirtækjum og stjórnvöldum, sem notuð eru við undirbúning ákvarðana hjá viðkomandi fyrirtæki eða stjórnvaldi, og hefur ekki verið dreift til annarra, að því marki sem nauðsynlegt er til að tryggja undirbúning málsmeðferðar.

Meta verður í hverju tilviki fyrir sig hvort framangreindar takmarkanir eigi við.

Má krefja mig um greiðslu fyrir aðgang að persónuupplýsingunum mínum?

Almenna reglan er sú að rétturinn er gjaldfrjáls.

Undantekning er gerð frá þessu þegar farið er fram á að afhent verði fleiri en eitt afrit af þeim persónuupplýsingum sem unnið er með. Við þær aðstæður er heimilt að innheimta sanngjarnt gjald, byggt á umsýslukostnaði.

Þá skal á það bent að ef beiðni um aðgang er augljóslega tilefnislaus eða óhófleg, einkum vegna endurtekningar, er ábyrgðaraðila heimilt að setja upp sanngjarnt gjald með tilliti til stjórnsýslukostnaðar við upplýsingagjöfina, eða að neita að verða við beiðninni.

Hafa ber í huga við túlkun þessara reglna að meginreglan er sú að aðgangsrétturinn skal vera án endurgjalds. Undantekningar frá þeirri meginreglu ber því að túlka þröngt.