Allar spurningar og svör

Fyrirsagnalisti

Aðgangsréttur

Einstaklingar eiga rétt á að fá upplýsingar um það hvort verið sé að vinna með persónuupplýsingar þeirra. Vinnsla persónuupplýsinga getur meðal annars falist í söfnun þeirra, notkun og varðveislu.

Andmælaréttur

Einstaklingum er almennt heimilt að andmæla vinnslu um sig sjálfa þegar vinnsla byggist á almannahagsmunum eða lögmætum hagsmunum þess sem vinnur með upplýsingarnar. Má þá ekki vinna upplýsingarnar frekar nema sýnt sé fram á mikilvægar lögmætar ástæður fyrir vinnslunni.

Ábyrgðaraðilar, vinnsluaðilar og vinnslusamningar

Í persónuverndarlögum er gerður greinarmunur á ábyrgðaraðilum og vinnsluaðilum persónuupplýsinga. Þegar ábyrgðaraðili (sá sem vinnur með upplýsingarnar) notar vinnsluaðila þá er gerð krafa um að þeir geri með sér vinnslusamning.

Ábyrgðarskyldan

Ábyrgðaraðili ber ábyrgð á því að vinnsla persónuupplýsinga uppfylli ávallt meginreglur persónuverndarlöggjafarinnar og hann skal geta sýnt fram á það.

Börn og persónuvernd

Persónuupplýsingar barna njóta sérstakrar verndar, þar sem þau kunna að vera síður meðvituð um áhættu, afleiðingar og réttindi sín í tengslum við vinnslu persónuupplýsinga.

Eftirlitsmyndavélar

Notkun eftirlitsmyndavéla þarf að hafa skýran og málefnalegan tilgang. Fræðsla gagnvart þeim sem sæta vöktuninni er skilyrði og almennt má ekki varðveita efni lengur en 90 daga.

Erfða- og lífkennaupplýsingar

Erfða- og lífkennaupplýsingar eru upplýsingar sem varða arfgenga eða áunna erfðaeiginleika einstaklings og varpa ljósi á lífeðlisfræði hans eða heilbrigði. Þær fást einkum með greiningu á líffræðilegu sýni frá viðkomandi einstaklingi. Allt eru þetta viðkvæmar persónuupplýsingar sem má eingöngu vinna með í ákveðnum tilfellum, t.d. þegar samþykki liggur fyrir eða vegna verulegra almannahagsmuna, s.s. vegna vísindarannsókna, enda sé persónuvernd tryggð með ákveðnum ráðstöfunum.

Flutningsréttur

Flutningsréttur á við þegar einstaklingur hefur sjálfur afhent ábyrgðaraðila (þeim sem vinnur með upplýsingarnar) persónuupplýsingar um sig á rafrænu formi, nánar tiltekið á skipulegu, algengu, tölvulesanlegu sniði. Í réttinum felst að ábyrgðaraðila ber að verða við ósk einstaklingsins um að fá persónuupplýsingarnar í hendur. Þá felst í réttinum að einstaklingurinn á að geta sent öðrum ábyrgðaraðila upplýsingarnar án þess að fyrri ábyrgðaraðilinn hindri það.

Flutningur persónuupplýsinga úr landi

Flutningur persónuupplýsinga úr landi, t.d. í tölvuský, er aðeins heimill ef lög viðtökuríkisins veita persónuupplýsingum fullnægjandi vernd.

Forystustjórnvald og samræmingarkerfi

Forystustjórnvald sé sú persónuverndarstofnun sem ber höfuðábyrgð á meðferð máls sem varðar vinnslu persónuupplýsinga yfir landamæri. Eingöngu þarf að ákvarða forystustjórnvald þegar ábyrgðaraðili (sá sem vinnur með upplýsingarnar) stundar vinnslu yfir landamæri.

Fræðsluskylda

Fræðsluskyldan er einn þáttur í ábyrgðarskyldu fyrirtækja og stjórnvalda samkvæmt persónuverndarlögum og felur í sér að framangreindir aðilar veiti einstaklingum rétt til upplýsinga samkvæmt löggjöfinni.

Hátternisreglur

Hátternisreglur eiga að endurspegla þarfir mismunandi atvinnugeira og fyrirtækja. Samtök, sem koma fram fyrir hönd ákveðinna atvinnugreina eða –geira, geta samið slíkar reglur til þess að styrkja fyrirtæki, á hagkvæman hátt, til að laga starfsemi sína að persónuverndarreglugerðinni.

Hljóðupptökur

Ef hljóðupptaka er viðvarandi eða endurtekin reglulega og felur í sér einhvers konar eftirlit með einstaklingum eða fjarstýrðum eða sjálfvirkum búnaði telst hún vera rafræn vöktun.

Hvað eru persónuupplýsingar?

Persónuupplýsingar eru allar upplýsingar sem hægt er að tengja við einstakling, t.d. nafn, kennitala, staðsetningargögn, ljósmynd o.s.frv.

Hvaða reglur gilda um notkun kennitalna?

Notkun kennitölu er heimil ef hún á sér málefnalegan tilgang og er nauðsynleg til að tryggja örugga persónugreiningu. 

Hvaða reglur gilda um samþykki fyrir vinnslu persónuupplýsinga?

Sá sem vinnur með persónuupplýsingarnar, ábyrgðaraðilinn, þarf að geta sýnt fram á að einstaklingur hafi samþykkt vinnslu persónuupplýsinga um sig. 

Hvenær má vinna með persónuupplýsingar?

Öll vinnsla persónuupplýsinga verður að byggjast á heimild í persónuverndarlögum. Það fer eftir tilgangi vinnslunnar hvaða heimild getur átt við í hvert sinn. Engin ein heimild er rétthærri, mikilvægari eða betri en önnur.

Til þess að vinnsla persónuupplýsinga sé lögmæt þarf hún jafnframt að vera í samræmi við meginreglur persónuverndarlaganna

Hvenær má vinna með viðkvæmar persónuupplýsingar?

Sá sem vinnur viðkvæmar persónuupplýsingar þarf að ákveða fyrirfram við hvaða heimild vinnslan styðst.

Innbyggð og sjálfgefin persónuvernd

Innbyggð og sjálfgefin persónuvernd tekur til þeirra ráðstafana sem eru innbyggðar í hugbúnað, hannaðar til að fylgja meginreglum persónuverndar og að sjálfgefið sé að eingöngu nauðsynlegar upplýsingar séu unnar. 

Leiðrétting og eyðing persónuupplýsinga

Einstaklingar eiga rétt á því að óáreiðanlegar persónuupplýsingar um þá séu leiðréttar án tafar. Þá eiga einstaklingar einnig rétt á að persónuupplýsingum þeirra sé eytt í ákveðnum tilvikum.

Markaðssetning og bannskrá Þjóðskrár

Fyrirtæki geta haft lögmæta hagsmuni af beinni markaðssetningu en einstaklingar geta andmælt því að fá markpóst eða símtöl.

Mat á áhrifum á persónuvernd og fyrirframsamráð við Persónuvernd

Í ákveðnum tilvikum getur þurft að framkvæma sérstakt mat á áhrifum á persónuvernd (MÁP) áður en vinnsla persónuupplýsinga hefst. Niðurstaða matsins getur orðið til þess að ábyrgðaraðilinn þurfi enn fremur að óska leiðbeininga frá Persónuvernd áður en vinnslan getur hafist.

Meginreglur persónuverndarlöggjafarinnar

Meginreglurnar sex eru oft kallaðar „gullnu reglurnar“ og þær eru taldar upp í persónuverndarlöggjöfinni. Meginreglurnar endurspeglast í mörgum ákvæðum löggjafarinnar, t.d. um réttindi einstaklinga.

Persónuupplýsingar um starfsmenn

Skráning vinnuveitanda á persónuupplýsingum um starfsmenn getur talist eðlilegur þáttur í starfsemi hans. Hann þarf hins vegar að gæta að persónuverndarsjónarmiðum í hvívetna.

Persónuverndarfulltrúi

Persónuverndarfulltrúi á að vera til staðar hjá öllum stofnunum, ráðuneytum og sveitarfélögum og ákveðnum fyrirtækjum. Hann hefur það hlutverk að fylgjast með því að fyrirtæki og stofnanir fari að persónuverndarlögum.

Rafræn skilríki

Í rafrænum heimi er hægt að auðkenna sig með rafrænum skilríkjum og það jafngildir því að framvísa persónuskilríkjum. 

Tölvupóstur

Gæta þarf að persónuverndarreglum þegar skoða þarf vinnupóst starfsmanna. Almennt er óheimilt að skoða einkatölvupóst starfsmanna nema brýna nauðsyn beri til.

Tölvuský

Persónuvernd leggur mikla áherslu á að persónuupplýsingar séu ekki vistaðar í tölvuskýjum nema að undangengnu ítarlegu áhættumati. Mikilvægt er að meta hvort flutningur úr landi, ef tölvuský er vistað erlendis, sé heimill, sem og hvaða tegundir upplýsinga sé ástættanlegt að flytja í skýið og þá hvers konar ský.

Undirskriftasafnanir

Undirskriftasafnanir geta falið í sér vinnslu persónuupplýsinga sem falla undir persónuverndarlögin. 

Valdheimildir Persónuverndar

Persónuvernd er eftirlitsstjórnvald og hefur eftirlit með framkvæmd persónuverndarlaga, almennu persónuverndarreglugerðarinnar, sérákvæða í lögum sem fjalla um vinnslu persónuupplýsinga og annarra reglna um efnið. 

Varðveisla og eyðing gagna

Varðveisla og eyðing gagna er vinnsla persónuupplýsinga og því taka persónuverndarlögin sérstaklega á þeim þáttum.  

Vefkökur

Vefkaka er lítil textaskrá, sem er vistuð á tölvu, eða í öðru snjalltæki þegar notandi heimsækir vefsíðu í fyrsta sinn. Þegar notast er við vefkökur á vefsvæði þarf að fræða notendur síðunnar um að vinnsla persónuupplýsinga fari fram um þá með notkun vefkaka og í hvaða tilgangi.

Viðgerðarsaga bíla

Með miðlun upplýsinga um þjónustu- og viðgerðarsögu bifreiða getur átt sér stað vinnsla persónuupplýsinga sem þarf að styðjast við heimild í persónuverndarlögum.

Vinnsla persónuupplýsinga á vinnustöðum í tengslum við sóttvarnir (COVID-19)

Á vinnustöðum getur verið nauðsynlegt að skrá niður lágmarksupplýsingar í tengslum við útbreiðslu COVID-19 veirunnar, í þeim tilgangi að hefta útbreiðslu hennar og til að tryggja öryggi og heilbrigði á vinnustað. Atvinnurekendur þurfa að gæta þess að vinnslan sé í samræmi við persónuverndarlög.

Vinnsla persónuupplýsinga hjá stjórnvöldum

Stjórnvöld þurfa eins og aðrir að hafa heimild samkvæmt persónuverndarlögum til að mega vinna með persónuupplýsingar og fara að meginreglum laganna um hvernig megi vinna persónuupplýsingar.

Vinnsluskrár

Nánast öllum sem vinna með persónuupplýsingar er skylt að halda skrá yfir vinnslustarfsemi eða vinnsluskrá. Vinnsluskráin er mikilvægt tæki til að uppfylla ábyrgðarskylduna.

Vísindarannsóknir á heilbrigðissviði

Vísindarannsóknir eru rannsóknir á sjúkdómum, greiningu þeirra og erfðum sjúkdóma sem fyrirhugað er að gera á einstaklingum. Auk þess falla tilraunir með með ný lyf eða nýjar aðferðir til að greina sjúkdóma, lækna þá eða lina þjáningar til vísindarannsókna. Persónuvernd veitir umsögn til vísindasiðanefndar vegna umsókna um vísindarannsóknir og fyrirmæli um vinnslu persónuupplýsinga.

Vottun á vinnslu persónuupplýsinga

Veita má vottun til þeirra sem vinna með persónuupplýsingar ef sýnt er fram á að vinnsla þeirra samrýmist persónuverndarlögum.

Þagnarskylda og trúnaður

Þeir sem vinna með persónuupplýsingar þurfa að huga að þagnar- og trúnaðarskyldu sem á þeim getur hvílt. Þagnarskyldan takmarkar þó ekki valdheimildir Persónuverndar varðandi aðgang að húsnæði og tækjabúnaði.

Ökuritar

Þeir sem sæta vöktun með slíkum búnaði eiga ávallt rétt á fræðslu um tilgang, nauðsyn og réttindi einstaklingsins.

Öryggi persónuupplýsinga

Ein meginskylda þeirra sem vinna með persónuupplýsingar er að tryggja öryggi þeirra.

Öryggisbrestur

Öryggisbrestur felur í sér brest á öryggi sem leiðir til óviljandi eða ólögmætrar eyðingar persónuupplýsinga, sem eru sendar, varðveittar eða unnar á annan hátt, eða að þær glatist, breytist, verði birtar eða aðgangur veittur að þeim í leyfisleysi. Ábyrgðaraðili þarf að tilkynna Persónuvernd innan 72 klst. um öryggisbrest sem hefur áhrif á einstaklinga.


Fáni EvrópusambandsinsVinnsla þessara spurninga og svara var styrkt af Evrópusambandinu - The European Union's Rights, Equality and Citizenship Programme (2014-2020)

Spurningarnar og svörin eru unnin af Persónuvernd sem ber fulla ábyrgð á þeim. Framkvæmdastjórn Evrópusambandsins ber enga ábyrgð á notkun þeirra upplýsinga sem svörin hafa að geyma.


Var efnið hjálplegt? Nei