Aðgangsréttur

Aðgangsréttur

Einstaklingar eiga rétt á að fá upplýsingar um það hvort fyrirtæki eða stjórnvald, eða annar aðili sem vinnur með persónuupplýsingar, vinnur með persónuupplýsingar um þá. Vinnsla persónuupplýsinga getur meðal annars falist í söfnun þeirra, notkun og varðveislu.

Hvað er aðgangsréttur?

Einstaklingar eiga rétt á að fá upplýsingar um það hvort fyrirtæki eða stjórnvald, eða annar aðili sem vinnur með persónuupplýsingar, vinnur með persónuupplýsingar um þá. Vinnsla persónuupplýsinga getur meðal annars falist í söfnun þeirra, notkun og varðveislu.

Þessi réttur nefnist rétturinn til aðgangs, eða aðgangsréttur. Í honum felst réttur til þess að fá:

  • staðfestingu á því að unnið sé með persónuupplýsingarnar þínar,
  • afrit af þeim persónuupplýsingum um þig sem unnið er með, og
  • aðrar upplýsingar um vinnsluna.

 Með öðrum upplýsingum um vinnsluna er átt við upplýsingar um:

a.     tilgang vinnslunnar,

b.     viðkomandi flokka persónuupplýsinga,

c.     viðtakendur eða flokka viðtakenda sem hafa fengið eða munu fá persónuupplýsingarnar í hendur,

d.     ef mögulegt er, hversu lengi er fyrirhugað að varðveita persónuupplýsingarnar eða, ef það reynist ekki mögulegt, þær viðmiðanir sem notaðar eru til að ákveða það,

e.     að fyrir liggi réttur til að fara fram á leiðréttingu persónuupplýsinganna, eyðingu þeirra eða takmörkun vinnslu þeirra hvað hinn skráða varðar, eða til að andmæla slíkri vinnslu,

f.      réttinn til að leggja fram kvörtun hjá eftirlitsyfirvaldi (Persónuvernd),

g.     ef persónuupplýsinganna er ekki aflað hjá þér, allar fyrirliggjandi upplýsingar um uppruna þeirra, og

h.     hvort fram fari sjálfvirk ákvarðanataka, þ.m.t. gerð persónusniðs, sem um getur í 1. og 4. mgr. 22. gr. persónuverndarreglugerðarinnar (pvrg.), og, a.m.k. í þeim tilvikum, marktækar upplýsingar um þau rök sem þar liggja að baki og einnig þýðingu og fyrirhugaðar afleiðingar slíkrar vinnslu fyrir þig.

Hvernig nýti ég aðgangsréttinn?

Einstaklingar geta sent viðkomandi fyrirtæki eða stjórnvaldi beiðni um aðgang að persónuupplýsingum. Beiðnina má setja fram munnlega eða skriflega. Ef beiðninni er komið á framfæri munnlega er þó mælt með því að fylgja henni eftir skriflega, til dæmis með því að senda tölvupóst. Ástæða þessa er sú að það getur einfaldað ferlið þegar hægt er að rekja á auðveldan hátt hvað var beðið um og hvenær. Þá má benda á að sum fyrirtæki og stjórnvöld bjóða upp á stöðluð eyðublöð eða sérstakar réttindagáttir fyrir aðgangsbeiðnir, sem hægt er að nota. Ekki er þó skylt að nota slík eyðublöð eða gáttir þótt þau séu til.

Áður en þú sendir beiðni um aðgang þarf viðkomandi að ákveða:

  • hvert á að senda beiðnina, og
  • hvaða upplýsingum þú vilt óska eftir.

Beiðni um aðgang skal beint að því fyrirtæki eða stjórnvaldi sem ber ábyrgð að vinnslu persónuupplýsinganna. Mælt er með því að tilgreina með skýrum hætti hvers er óskað.

Ef einstaklingurinn hefur ekki áhuga á að fá aðgang að öllum persónuupplýsingum sem unnið er með hjá viðkomandi fyrirtæki/stjórnvaldi er ráðlegt að afmarka aðgangsbeiðnina, og tilgreina með skýrum hætti hvaða upplýsingar það eru sem óskað er eftir aðgangi að. Slíkt kann jafnframt að flýta fyrir afgreiðslu hennar í einhverjum tilvikum, einkum þegar vinnsla persónuupplýsinga hjá viðkomandi fyrirtæki/stjórnvaldi er mjög umfangsmikil.

Eins og áður kom fram er aðgangsrétturinn þríþættur, en í honum felst nánar tiltekið réttur til að fá staðfestingu á því að unnið sé með persónuupplýsingarnar;  réttur til að fá afrit af þeim persónuupplýsingum sem unnið er með; og réttur til að fá aðrar upplýsingar um vinnsluna.

Hægt er að nýta aðgangsréttinn að öllu leyti eða að hluta, eftir því sem óskað er hverju sinni. Til að mynda kann það að henta vel í einhverjum tilvikum að óska eftir upplýsingum um vinnsluna áður en tekin er ákvörðun um að óska eftir afriti af persónuupplýsingunum.

Beiðni um aðgang ættu almennt að fylgja eftirfarandi upplýsingar:

  • Nafn þitt og tengiliðaupplýsingar (svo sem netfang, símanúmer, heimilisfang)
  • Upplýsingar sem fyrirtækið/stjórnvaldið notar til þess að greina á milli þín og annarra einstaklinga sem bera sama nafn, ef um slíkt er að ræða (þetta geta til dæmis verið bankanúmer eða kennitala),
  • Aðrar upplýsingar sem geta komið að gagni við afgreiðslu beiðninnar (til dæmis upplýsingar um dagsetningar eða tímabil sem aðgangsbeiðnin tekur til).

Sem dæmi má nefna að í aðgangsbeiðni mætti tilgreina að óskað sé eftir upplýsingum um tölvupóstsamskipti milli nánar tilgreindra einstaklinga á ákveðnu tímabili, eða upptökum úr eftirlitsmyndavél á nánar tilgreindum stað og frá tilteknum degi. 

Hversu langan tíma tekur að afgreiða aðgangsbeiðni?

Aðgangsbeiðnum á að svara án ótilhlýðilegrar tafar og eigi síðar en innan mánaðar frá því að beiðnin barst fyrirtækinu/stjórnvaldinu.

Þennan frest má þó lengja um tvo mánuði til viðbótar ef þörf er á, með hliðsjón af fjölda beiðna sem bíða afgreiðslu og því hversu flóknar þær eru. Ef þessi heimild til framlengingar er nýtt ber fyrirtækinu/stjórnvaldinu að tilkynna einstaklingnum um það innan mánaðar frá því að beiðnin barst, og greina jafnframt frá ástæðunum fyrir töfinni.

Ef ekki er orðið við aðgangsbeiðninni skal fyrirtækið/stjórnvaldið, án tafar og í síðasta lagi innan mánaðar frá viðtöku beiðninnar, tilkynna einstaklingnum um ástæðurnar fyrir því að það var ekki gert og um möguleikann á að leggja fram kvörtun hjá Persónuvernd.

Þá skal tekið fram að þegar beiðni um aðgang að persónuupplýsingum er beint að fjárhagsupplýsingastofu getur í sumum tilvikum verið skylt að veita svar innan tveggja vikna.

Er hægt að óska eftir aðgangi að persónuupplýsingum sínum oftar en einu sinni?

Hægt er að óska eftir aðgangi að persónuupplýsingunum sínum oftar en einu sinni. Þó skal tekið fram að fyrirtækið/stjórnvaldið sem um ræðir getur í vissum tilvikum neitað að verða við beiðni um aðgang að persónuupplýsingum, en það á t.d. við þegar beiðnin er augljóslega tilefnislaus eða óhófleg, einkum vegna endurtekningar. Þegar svo háttar til er jafnframt heimilt að setja upp sanngjarnt gjald með tilliti til stjórnsýslukostnaðar við upplýsingagjöfina.

Ef þú ert að hugsa um að óska eftir aðgangi að persónuupplýsingum um þig, sem þú hefur áður fengið aðgang að, getur verið gott að líta til eftirfarandi atriða:

  • hversu líklegt er að upplýsingarnar hafi tekið breytingum frá því að aðgangur var síðast veittur,
  • hvort nægur tími er liðinn síðan aðgangur var síðast veittur til þess að það geti talist ásættanlegt að óska eftir nýjum upplýsingum um vinnslu persónuupplýsinga þinna,
  • hvort fyrirtækið/stjórnvaldið hefur gert breytingar á starfsemi sinni, sem viðkoma vinnslu persónuupplýsinga, nýlega.

Hvað get ég gert ef ég er ósátt/ósáttur við afgreiðslu á aðgangsbeiðni minni?

Ef einstaklingur er ósátt/ósáttur við það hvernig fyrirtæki eða stjórnvald hefur brugðist við beiðni um aðgang, og frekari samskipti við fyrirtækið/stjórnvaldið hafa engar úrbætur í för með sér, getur hann sent Persónuvernd formlega kvörtun. Kvörtunareyðublað, ásamt upplýsingum um kvörtunarferlið, má nálgast undir flipanum „Umsóknir og eyðublöð“ hér efst á vefsíðunni, sem og með því að ýta á hnappinn „Tilkynna brot“.

Einnig er öllum frjálst að bera ágreining af þessu tagi undir dómstóla. 

Getur fyrirtæki eða stjórnvald krafist viðbótarupplýsinga frá mér áður en beiðni um aðgang er afgreidd?

Það fyrirtæki eða stjórnvald, sem aðgangsbeiðninni er beint að, getur í einhverjum tilvikum þurft að óska eftir viðbótarupplýsingum frá þér til þess að afgreiða aðgangsbeiðnina þína. Þetta getur til dæmis verið nauðsynlegt til þess að hægt sé að finna þær persónuupplýsingar sem um ræðir.

Þarf ég að sýna skilríki til þess að fá aðgang að persónuupplýsingum um mig?

Ef verulegur vafi leikur á því hver sá einstaklingur er, sem leggur fram beiðni um aðgang að persónuupplýsingum, er hægt að fara fram á að veittar séu nauðsynlegar viðbótarupplýsingar til þess að staðfesta deili á honum. Fyrirtæki og stjórnvöld þurfa þó ávallt að hafa meginreglu persónuverndarlaganna um meðalhóf í huga og biðja ekki um ítarlegri eða meiri upplýsingar en þörf er á í framangreindum tilgangi.

Sé viðbótarupplýsinga þörf, sbr. framangreint, er æskilegt að óskað sé eftir þeim sem fyrst.

Hvernig á að veita aðgang að persónuupplýsingunum?

Fyrirtæki eða stjórnvald, sem fær í hendur beiðni frá einstaklingi um aðgang að persónuupplýsingum sínum, á að láta í té afrit af þeim persónuupplýsingum sem unnið er með. Ef aðgangsbeiðnin er sett fram rafrænt skulu upplýsingarnar látnar í té með rafrænu sniði sem almennt er notað, nema einstaklingurinn fari fram á annað.

Ef upplýsingarnar eru veittar rafrænt, sbr. framangreint, eru því ekki aðrar kröfur gerðar til fyrirtækisins/stjórnvaldsins en þær að notast sé við rafrænt snið sem er „almennt notað“. Einstaklingurinn getur hins vegar óskað eftir öðrum afhendingarmáta, svo sem að fá gögn afhent á pappírsformi eða að upplýsingar séu veittar munnlega, þegar slíkt er mögulegt.

 Hvenær má neita beiðni um aðgang?

Réttur þinn til aðgangs að persónuupplýsingum um þig gildir ekki ef brýnir hagsmunir einstaklinga tengdir upplýsingunum, þar á meðal þínir eigin, vega þyngra. Meta verður í hverju tilviki fyrir sig hvort þessi undanþága á við.

Þetta þýðir meðal annars að ef þær persónuupplýsingar, sem aðgangsbeiðnin tekur til, innihalda einnig persónuupplýsingar um aðra einstaklinga þarf að meta í hverju tilviki fyrir sig hvort veita á aðgang að þeim eða ekki. Matið ræðst af því hvort brýnir hagsmunir þessara einstaklinga, tengdir upplýsingunum, vegi þyngra en réttur þinn til aðgangs að persónuupplýsingum um þig. Í þessu samhengi getur eðli persónuupplýsinganna skipt máli, sem og það hvort upplýsingarnar eru háðar trúnaði eða þagnarskyldu. Rétt er að benda á að aðrir einstaklingar, sem upplýsingarnar taka til, geta í einhverjum tilvikum samþykkt að aðgangur sé veittur að þeim. Það er hins vegar ekki alltaf nauðsynlegt og ræðst það fyrst og fremst af heildarmati á aðstæðum í hverju tilviki hvort veita má aðgang að persónuupplýsingum við þessar aðstæður.

Heimilt er að neita að verða við beiðni um aðgang að persónuupplýsingum ef hún er augljóslega tilefnislaus eða óhófleg, einkum vegna endurtekningar. Við þær aðstæður er jafnframt heimilt að setja upp sanngjarnt gjald með tilliti til stjórnsýslukostnaðar við upplýsingagjöfina eða tilkynningarnar eða aðgerðirnar sem farið er fram á.

Ef ákveðið er að nýta framangreinda heimild er það hlutverk fyrirtækisins eða stjórnvaldsins að sýna fram á að beiðnin sé tilefnislaus eða óhófleg.

Þá gildir reglan um aðgangsrétt hins skráða ekki þegar vinnsla persónuupplýsinga fer aðeins fram í þágu vísinda eða sagnfræði eða í tölfræðilegum tilgangi, eða vegna skjalavistunar í þágu almannahagsmuna, að svo miklu leyti sem telja má að þessi réttindi geri það ómögulegt eða hamli því verulega að unnt sé að ná viðkomandi markmiðum.

Heimilt er að takmarka aðgangsréttinn þegar um er að ræða:

  • þjóðaröryggi;
  • landvarnir;
  • almannaöryggi;
  • það að koma í veg fyrir, rannsaka, koma upp um eða saksækja fyrir refsiverð brot eða fullnægja refsiviðurlögum, þ.m.t. að vernda gegn og koma í veg fyrir ógnir við almannaöryggi;
  • önnur mikilvæg markmið sem þjóna almannahagsmunum, einkum efnahagslegum eða fjárhagslegum, þ.m.t. vegna gjaldeyrismála, fjárlaga og skattamála, lýðheilsu og almannatrygginga;
  • vernd skráðs einstaklings, brýnna almannahagsmuna eða grundvallarréttinda annarra;
  • það að einkaréttarlegum kröfum sé fullnægt; 
  • lagaákvæði um þagnarskyldu.

Þá er heimilt að takmarka aðgangsréttinn, með sömu skilyrðum og nefnd voru hér að framan, að því er varðar persónuupplýsingar í vinnuskjölum sem notuð eru við undirbúning ákvarðana hjá viðkomandi fyrirtæki eða stjórnvaldi, og hefur ekki verið dreift til annarra, að því marki sem nauðsynlegt er til að tryggja undirbúning málsmeðferðar.

Upplýsingar í málum sem eru til meðferðar hjá stjórnvöldum má undanþiggja réttinum til aðgangs að sama marki og gildir um undantekningar á upplýsingarétti samkvæmt upplýsingalögum og stjórnsýslulögum.

Má krefja mig um greiðslu fyrir aðgang að persónuupplýsingunum mínum?

Almenna reglan er sú að réttur einstaklinga til aðgangs að persónuupplýsingum sínum er gjaldfrjáls.

Undantekning er gerð frá þessu þegar farið er fram á að afhent verði fleiri en eitt afrit af þeim persónuupplýsingum sem unnið er með. Við þær aðstæður er heimilt að innheimta sanngjarnt gjald, byggt á umsýslukostnaði.

Þá skal á það bent að ef beiðni um aðgang er augljóslega tilefnislaus eða óhófleg, einkum vegna endurtekningar, er ábyrgðaraðila heimilt að setja upp sanngjarnt gjald með tilliti til stjórnsýslukostnaðar við upplýsingagjöfina, eða að neita að verða við beiðninni.

Hafa ber í huga við túlkun þessara reglna að meginreglan er sú að aðgangsrétturinn skal vera án endurgjalds. Undantekningar frá þeirri meginreglu ber því að túlka þröngt.



Var efnið hjálplegt? Nei