Ábyrgðarskylda

Ábyrgðarskyldan

Þeir sem bera ábyrgð á vinnslu persónuupplýsinga þurfa að fara að meginreglum löggjafarinnar og geta sýnt fram á það.

Hvað er ábyrgðarskylda?

Ein af nýjum skyldum samkvæmt persónuverndarlöggjöfinni er svokölluð ábyrgðarskylda. Í felst henni felst einkum tvennt. Annars vegar að að fyrirtæki, stofnanir, sveitarfélög og aðrir sem bera ábyrgð á vinnslu persónuupplýsinga (ábyrgðaraðilar) þurfa að fara að meginreglum löggjafarinnar og geta sýnt fram á það. Það að ábyrgðaraðilinn þurfi að sýna fram á hvernig hann fer að reglunum felur í sér að hann þarf að geta sannað það, t.d. með skjölum og verklagsreglum, og geta sýnt fram á skilvirkni ráðstafana sem hann hefur ákveðið að beita, t.d. með skráningu frávika o.fl.

Í öllum tilvikum þarf að taka mið af eðli, umfangi, samhengi og tilgangi vinnslunnar og áhættunni fyrir réttindi og frelsi einstaklingsins.

Þannig þarf að gera mismunandi ráðstafanir eftir því hvort um er að ræða almennar eða viðkvæmar persónuupplýsingar, hvort unnið er með mikið magn upplýsinga eða lítið, og hvort ætlunin sé að búa til persónusnið eða láta fara fram sjálfvirka ákvarðanatöku, svo dæmi séu nefnd. Þá þarf að hugsa um hvaða áhrif vinnslan hefur á einstaklinginn.

Ef vinnslan dregur til dæmis úr möguleikum hans á að fá tiltekna þjónustu þarf að gera meiri kröfur til þeirra ráðstafana, sem eru notaðar til að sýna fram á hvernig farið er að reglunum, en þegar það hvort vinnslan fer fram hefur engin áhrif á að hann geti neytt réttinda sinna, en það á til dæmis við ef hann fær þjónustu óháð því hvort vinnslan fer fram.

Hverjar eru þessar meginreglur sem þarf að fylgja?

Meginreglurnar sex eru oft kallaðar „gullnu reglurnar“ og þær eru taldar upp í persónuverndarlöggjöfinni. Meginreglurnar endurspeglast í mörgum ákvæðum löggjarinnar, t.d. um réttindi einstaklinga.

Þegar unnið er með persónuupplýsingar þarf alltaf að hafa þessar meginreglur í huga og vinna með upplýsingarnar í samræmi við þær. Reglurnar eru:

  1. Sanngirnisreglan: að persónuupplýsingar séu unnar með lögmætum, sanngjörnum og gagnsæjum hætti gagnvart einstaklingnum
  2. Tilgangsreglan: að persónuupplýsingar séu unnar í skýrum, lögmætum og málefnalegum tilgangi og ekki unnar frekar í öðrum og ósamrýmanlegum tilgangi.
  3. Meðalhófsreglan: að persónuupplýsingar séu nægilegar, viðeigandi og ekki umfram það sem nauðsynlegt er miðað við tilganginn með vinnslu þeirra.
  4. Áreiðanleikareglan: að persónuupplýsingar séu áreiðanlegar og uppfærðar eftir þörfum; persónuupplýsingum sem eru óáreiðanlegar eða ófullkomnar skal eyða eða þær leiðréttar án tafar.
  5. Varðveislureglan: að persónuupplýsingar séu varðveittar í því formi að ekki sé unnt að bera kennsl á einstaklinga lengur en þörf krefur miðað við tilganginn með vinnslu þeirra. Heimilt er að geyma persónuupplýsingar lengur að því tilskildu að vinnsla þeirra þjóni eingöngu skjalavistun í þágu almannahagsmuna, rannsókna á svið ivísinda eða sagnfræði eða í tölfræðilegum tilgangi og að viðeigandi öryggis sé gætt.
  6. Öryggisreglan: að persónuupplýsingar séu unnar með þeim hætti að viðeigandi öryggi þeirra sé tryggt.

Hvernig uppfyllir mitt fyrirtæki eða stofnun ábyrgðarskylduna?

Til að uppfylla ábyrgðarskylduna þarf að skoða hverja meginreglu fyrir sig og meta hvaða kröfur persónuverndarlöggjöfin gerir til þess að þær séu uppfylltar. Hér á eftir er gerð stuttlega grein fyrir hverri meginreglu og hvað hún felur í sér. Þetta er hins vegar ekki tæmandi talning á þeim atriðum sem þarf að huga að, enda er það mjög háð eðli, umfangi, samhengi og tilgangi vinnslunnar hverju þarf að huga að og hversu mikið. 

Sanngirnisreglan 

 

Sanngirnisreglan lýtur fyrst og fremst að réttindum einstaklinga, t.d. upplýsingarétti þeirra og aðgangsrétti. Þannig þarf ábyrgðaraðilinn að geta sýnt fram á að einstaklingar hafi fengið fullnægjandi fræðslu þegar það á við og hann þarf að veita einstaklingum aðgang að sínum persónuupplýsingum. Fara þarf yfir öll réttindin og kortleggja hvernig skuli veita þau.

Varðandi upplýsingaréttinn og fræðsluskylduna má taka sem dæmi að fyrirtæki skjalfesti í starfsmannahandbók að á hverju ári fari fram fræðsla um rafræna vöktun á vinnustaðnum. Starfsmenn skrái sig á mætingarlista og þessu sé haldið til haga innan fyrirtækisins þar til fræðsla fer aftur fram að ári liðnu, en eftir það sé mætingarlistanum eytt.

Sanngirnisreglan tekur líka til lögmætis vinnslunnar. Í því felst að ávallt þarf að vera til staðar heimild fyrir vinnslu persónuupplýsinga, til dæmis samþykki, lagaskylda eða lögmætir hagsmunir. Mismunandi heimildir eru fyrir vinnslu almennra persónuupplýsinga og vinnslu viðkvæmra persónuupplýsinga og því er það hluti af því að uppfylla ábyrgðarskylduna að kortleggja á hvaða heimild hver vinnslustarfsemi fyrir sig grundvallast.

 

Tilgangsreglan

Tilgangsreglan lýtur fyrst og fremst að því hvenær skuli vinna persónuupplýsingar. Öll vinnsla verður að hafa skýran tilgang.

Hér getur skrá yfir vinnslustarfsemi, sem í flestum tilvikum er skylt að halda, verið gagnlegt tæki til að sýna fram á að ábyrgðarskyldan sé uppfyllt en í henni skal gera grein fyrir tilgangi hverrar vinnslustarfsemi fyrir sig. Skráin rammar þannig inn tilgang vinnslu og auðveldar alla eftirfarandi vinnu. Einnig geta önnur tól, t.d. framkvæmd mats á áhrifum á persónuvernd (MÁP), hjálpað við mat á því hvort tilgangur vinnslunnar er lögmætur og málefnalegur.

Meðalhófsreglan

Meðalhófsreglan felur í sér að ekki á að vinna með meiri persónuupplýsingar en þörf er á. Hér geta tól á borð við skrá yfir vinnslustarfsemi og mat á áhrifum á persónuvernd (MÁP) hjálpað við mat á því hvort vinnslan er nægjanleg eða hvort verið er að safna upplýsingum sem ekki er þörf á að afla.

Oft er gagnlegt að átta sig á helstu tegundum persónuupplýsinga og flokkum þeirra einstaklinga sem vinna þarf með upplýsingar um og spyrja sig hvers vegna þurfi að vinna með upplýsingarnar. Þetta tengist líka tilgangsreglunni, þ.e. tilgangurinn þarf að vera skýr svo að hægt sé að átta sig á því hvaða upplýsingar ábyrgðaraðilanum er nauðsynlegt að vinna með.

Sem dæmi má nefna stjórnvald sem tekur á móti almennum fyrirspurnum í gegnum fyrirspurnaform á vefsíðu sinni. Ekki er gert ráð fyrir að fyrir að fyrirspurnir tengist tilteknum málum sem eru til meðferðar hjá stjórnvöldum. Stjórnvaldið telur því ekki nauðsynlegt að gera kröfu um fullt nafn og kennitölu einstaklinga, heldur nægir netfang viðkomandi til að hægt sé að svara fyrirspurninni.

Áreiðanleikareglan

Áreiðanleikareglan felur í sér að persónuupplýsingar skuli vera réttar. Til að geta sýnt fram á að farið hafi verið að henni getur verið nauðsynlegt að skjalfesta verklag um hvenær skuli uppfæra upplýsingar í upplýsingakerfum, til dæmis tengiliðaupplýsingar einstaklinga. Þetta getur verið sérstaklega mikilvægt þegar um er að ræða viðkvæmar persónuupplýsingar.

Í tilviki stjórnvalda og þeirra sem falla undir reglur um skilaskyldu til skjalasafna er sjaldnast hægt að eyða upplýsingum og því er mikilvægt að skrá réttar upplýsingar eða að bæta við lýsingu sem leiðréttir þær upplýsingar sem þegar hafa verið skráðar, þegar við á.

Varðveislureglan

Varðveislureglan felur í sér að eyða á persónuupplýsingum þegar þeirra er ekki lengur þörf vegna tilgangsins.

Það getur t.d. átt við um persónuupplýsingar í bókhaldi en almenna reglan er sú að bókhaldsgögnum má eyða eftir sjö ár. Þá getur verið tilefni til að eyða persónuupplýsingum sem finna má í slíkum gögnum. Ef geyma þarf upplýsingarnar lengur þarf að skjalfesta hvers vegna það er gert.

Annað raunhæft dæmi er varðveisla persónuupplýsinga um fyrrverandi starfsmenn. Sumar upplýsingar getur verið mikilvægt að varðveita lengi, svo sem upplýsingar um ástæður uppsagnar o.þ.h., en öðrum upplýsingum má líklega eyða eftir sjö ár, t.d. upplýsingum um orlof og fleira. Best er að skjalfesta verkferla um hvenær skuli eyða tilteknum tegundum persónuupplýsinga.

Hér getur skrá yfir vinnslustarfsemi einnig komið að gagni við að fá yfirlit yfir hvenær eyðing skuli fara fram.

Öryggisreglan

Öryggisreglan lýtur að því að tryggja öryggi persónuupplýsinga í hvívetna. Hún endurspeglast í mörgum ákvæðum persónuverndarlöggjafarinnar.

Þannig þarf ábyrgðaraðilinn að skjalfesta áhættumat hvað varðar öryggi persónuupplýsinganna og ákveða öryggisráðstafanir út frá niðurstöðu áhættumatsins. Í þessu felst líka skjalfesting þess þegar mat á áhrifum á persónuvernd (MÁP) er framkvæmt og skjalfesting á verkferlum í tengslum við tilkynningu um öryggisbresti. Þá þarf ábyrgðaraðili einnig að halda skrá yfir alla öryggisbresti sem verða í starfseminni og geta sýnt Persónuvernd hana, sé þess óskað.



Var efnið hjálplegt? Nei