Allar spurningar og svör

Ábyrgðarskyldan

Ábyrgðaraðili ber ábyrgð á því að vinnsla persónuupplýsinga uppfylli ávallt meginreglur persónuverndarlöggjafarinnar og hann skal geta sýnt fram á það.

Hvað felst í ábyrgðarskyldu?

Ein af skyldum persónuverndarlöggjafarinnar er svokölluð ábyrgðarskylda. Í henni felst einkum tvennt. Annars vegar að fyrirtæki, stofnanir, sveitarfélög og aðrir sem bera ábyrgð á vinnslu persónuupplýsinga (ábyrgðaraðilar) þurfa að fara að meginreglum löggjafarinnar og hins vegar þarf ábyrgðaraðilinn að geta sýnt fram á það. Það að þurfa að sýna fram á hvernig farið er að reglunum felur í sér að ábyrgðaraðili þarf að geta sannað það, t.d. með skjölum og verklagsreglum, og að geta sýnt fram á skilvirkni ráðstafana sem hann hefur ákveðið að beita, t.d. með skráningu frávika o.fl.

Í öllum tilvikum þarf að taka mið af eðli, umfangi, samhengi og tilgangi vinnslunnar og áhættunni fyrir réttindi og frelsi einstaklingsins.

Þannig þarf að gera mismunandi ráðstafanir eftir því hvort um er að ræða almennar eða viðkvæmar persónuupplýsingar, hvort unnið er með mikið magn upplýsinga eða lítið, og hvort ætlunin sé að búa til persónusnið eða láta fara fram sjálfvirka ákvarðanatöku, svo dæmi séu nefnd. Þá þarf að hugsa um hvaða áhrif vinnslan hefur á einstaklinginn.

Ef vinnslan til dæmis getur haft áhrif á það hvort einstaklingur fái tiltekna þjónustu eða ekki eru gerðar meiri kröfur um að sýnt sé fram á að farið sé eftir reglum.

Hverjar eru þessar meginreglur sem þarf að fylgja?

Meginreglurnar sex eru oft kallaðar „gullnu reglurnar“ og þær eru taldar upp í persónuverndarlöggjöfinni. Meginreglurnar endurspeglast í mörgum ákvæðum löggjafarinnar, t.d. um réttindi einstaklinga.

Þegar unnið er með persónuupplýsingar þarf alltaf að hafa þessar meginreglur í huga og vinna með upplýsingarnar í samræmi við þær. Reglurnar eru:

  1. Sanngirnisreglan: að persónuupplýsingar séu unnar með lögmætum, sanngjörnum og gagnsæjum hætti gagnvart einstaklingnum
  2. Tilgangsreglan: að persónuupplýsingar séu unnar í skýrum, lögmætum og málefnalegum tilgangi og ekki unnar frekar í öðrum og ósamrýmanlegum tilgangi.
  3. Meðalhófsreglan: að persónuupplýsingar séu nægilegar, viðeigandi og ekki umfram það sem nauðsynlegt er miðað við tilganginn með vinnslu þeirra.
  4. Áreiðanleikareglan: að persónuupplýsingar séu áreiðanlegar og uppfærðar eftir þörfum,. ; Óáreiðanlegum eða ófullkomnum persónuupplýsingum skal eyða eða þær leiðréttar án tafar.
  5. Varðveislureglan: að persónuupplýsingar séu varðveittar í því formi að ekki sé unnt að bera kennsl á einstaklinga lengur en þörf krefur miðað við tilganginn með vinnslu þeirra. Heimilt er að geyma persónuupplýsingar lengur að því tilskildu að vinnsla þeirra þjóni eingöngu skjalavistun í þágu almannahagsmuna, rannsókna á svið i vísinda eða sagnfræði eða í tölfræðilegum tilgangi og að viðeigandi öryggis sé gætt.
  6. Öryggisreglan: að persónuupplýsingar séu unnar með þeim hætti að viðeigandi öryggi þeirra sé tryggt.

Hvernig uppfyllir mitt fyrirtæki eða stofnun ábyrgðarskylduna?

Til að uppfylla ábyrgðarskylduna þarf að skoða hverja meginreglu fyrir sig og meta hvaða kröfur persónuverndarlöggjöfin gerir til þess að þær séu uppfylltar. Þá eru mismunandi heimildir eru fyrir vinnslu almennra persónuupplýsinga og viðkvæmra persónuupplýsinga og því er það líka hluti af því að uppfylla ábyrgðarskylduna að kortleggja á hvaða heimild hver vinnslustarfsemi fyrir sig grundvallast.

 

Fáni EvrópusambandsinsVinnsla þessara spurninga og svara var styrkt af Evrópusambandinu - The European Union's Rights, Equality and Citizenship Programme (2014-2020)

Spurningarnar og svörin eru unnin af Persónuvernd sem ber fulla ábyrgð á þeim. Framkvæmdastjórn Evrópusambandsins ber enga ábyrgð á notkun þeirra upplýsinga sem svörin hafa að geyma.

Var efnið hjálplegt? Nei