Allar spurningar og svör

Hvenær má vinna með persónuupplýsingar?

Öll vinnsla persónuupplýsinga verður að byggjast á heimild í persónuverndarlögum. Það fer eftir tilgangi vinnslunnar hvaða heimild getur átt við í hvert sinn. Engin ein heimild er rétthærri, mikilvægari eða betri en önnur.

Til þess að vinnsla persónuupplýsinga sé lögmæt þarf hún jafnframt að vera í samræmi við meginreglur persónuverndarlaganna

Hvenær er heimilt að vinna með persónuupplýsingar?

Til þess að heimilt sé að vinna með persónuupplýsingar þarf ávallt að vera fyrir því lögmætur grundvöllur.

Öll vinnsla persónuupplýsinga verður að byggjast á einni af eftirfarandi sex heimildum til þess að hún teljist fara fram á lögmætum grundvelli:

  1. Samþykki þess sem persónuupplýsingarnar eru um (hins skráða) fyrir vinnslunni í þágu eins eða fleiri tiltekinna markmiða.
  2. Vinnslan er nauðsynleg til að efna samning sem hinn skráði er aðili að eða til að gera ráðstafanir að beiðni hins skráða áður en samningur er gerður.
  3. Vinnslan er nauðsynleg til að fullnægja lagaskyldu sem hvílir á þeim sem ákveður vinnsluna (ábyrgðaraðila).
  4. Vinnslan er nauðsynleg til að vernda brýna hagsmuni hins skráða eða annars einstaklings.
  5. Vinnslan er nauðsynleg vegna verks sem unnið er í þágu almannahagsmuna eða við beitingu opinbers valds sem ábyrgðaraðili fer með.
  6. Vinnslan er nauðsynleg vegna lögmætra hagsmuna sem ábyrgðaraðili eða einhver annar gætir, nema hagsmunir eða grundvallarréttindi og frelsi hins skráða, sem krefjast verndar persónuupplýsinga, vegi þyngra, einkum ef hinn skráði er barn.

Ef sú heimild sem byggt er á gerir kröfu um að vinnslan sé nauðsynleg þarf að gæta að því hvort unnt sé að ná sömu markmiðum án þess að vinna með persónuupplýsingar. Ef það er hægt þá er ekki lögmætur grundvöllur fyrir vinnslunni.

 

Á hvaða tímapunkti þarf að ákveða tilgang vinnslu?

Ákveða þarf og skrá niður tilgang vinnslunnar og á hvaða heimild hún byggir áður en vinnsla hefst. Ekki má skipta um heimild eftir að vinnsla er hafin nema sérstaklega standi á.

Ef tilgangur vinnslunnar breytist eftir að hún er hafin getur hún áfram verið lögmæt á grundvelli sömu heimildar ef nýr tilgangur samrýmist upphaflegum tilgangi. Þetta á ekki við ef heimildin byggir á samþykki.

Hvaða kröfur eru gerðar til samþykkis?

Ábyrgðaraðili vinnslu þarf að geta sýnt fram á að skráður einstaklingur hafi samþykkt vinnslu persónuupplýsinga um sig. Samþykki geta verið í mismunandi formi, en þó eru ákveðin grunnskilyrði sem þarf alltaf að uppfylla.

Einstaklingar eiga alltaf rétt á því að draga samþykki sitt til baka. Það á að vera jafn auðvelt að draga samþykki til baka og að veita það, t.d. ef einstaklingur veitir samþykki á vefsíðu, þá á hann allajafna að geta farið á viðkomandi vefsíðu aftur og afturkallað samþykkið.

Stjórnvöld geta almennt ekki byggt á samþykki við vinnslu persónuupplýsinga, heldur verða að geta stuðst við aðrar heimildir. Vinnuveitendur geta líka almennt ekki byggt á samþykki starfsmanna sinna, þar sem sjaldnast er um óþvingað samþykki er að ræða.

Vinnsla nauðsynleg til að efna samning sem hinn skráði er aðili að

Ýmis vinnsla persónuupplýsinga hjá fyrirtækjum getur fallið hér undir, t.d. hjá bönkum og öðrum fjármálafyrirtækjum, vátryggingafélögum, fjarskiptafyrirtækjum o.fl. Skilyrðið er að hinn skráði sé aðili að hlutaðeigandi samningi.

Ávallt þarf að gæta að meginreglum persónuverndarlaga, meðal annars um meðalhóf og gagnsæi.

 

Vinnsla nauðsynleg til að fullnægja lagaskyldu

Í mörgum tilfellum getur vinnsla stjórnvalda ríkis og sveitarfélaga á persónuupplýsingum byggst á því að hún sé nauðsynleg til að fullnægja lagaskyldu sem hvílir á viðkomandi stjórnvaldi. Stjórnvöldum eru fengin verkefni með lögum og því algengt að í slíkum lagaákvæðum sé mælt fyrir um einhvers konar vinnslu persónuupplýsinga; söfnun, skráningu, miðlun o.s.frv., eftir því sem við á.

Vinnsla getur einnig talist nauðsynleg til að fullnægja lagaskyldu þegar vinnuveitendur vinna upplýsingar um starfsmenn sína, óháð því hvort vinnuveitandinn er opinber aðili eða á einkamarkaði. Í slíkum tilfellum er að afar mikilvægt að gæta að fræðslu til starfsmanna um vinnsluna og gagnsæi hennar að öðru leyti.

Vinnsla nauðsynleg til að vernda brýna hagsmuni hins skráða eða annars einstaklings

Vinnsla persónuupplýsinga getur verið heimil ef hún er nauðsynleg til að vernda brýna hagsmuni hins skráða eða annars einstaklings, t.d. ef hinn skráði er ófær um að veita samþykki sitt vegna sjúkdóms, fjarveru eða af öðrum samsvarandi ástæðum. Sama á við ef vinnsla er svo áríðandi að hún geti ekki beðið þar til hægt er að afla samþykkis.

Með brýnum hagsmunum er átt við að hagsmunirnir hafi grundvallarþýðingu fyrir hinn skráða, t.d. þegar skráður einstaklingur getur ekki samþykkt vinnslu sem myndi forða honum frá verulegum fjárhagstjóni eða öðrum skaða. Þessari heimild er almennt aðeins beitt í algjörum undantekningartilfellum.

Almannahagsmunir og vinnsla við beitingu opinbers valds

Í framkvæmd er algengast að opinberir aðilar geti byggt vinnslu persónuupplýsinga á því að hún sé nauðsynleg vegna almannahagsmuna. Það er þó ekki skilyrði að um opinbera aðila sé að ræða. Til þess að falla hér undir þarf vinnslan að vera unnin í almannaþágu og hafa þýðingu fyrir breiðan hóp manna. Þá þarf einnig að vera skýr lagaheimild fyrir vinnslunni.

Svipuð sjónarmið eiga við um beitingu opinbers valds. Oftast er stjórnvöldum falið opinbert vald, en við sérstakar aðstæður geta þau framselt það vald til annarra aðila. Með beitingu opinbers valds er fyrst og fremst átt við töku stjórnvaldsákvarðana en ýmis opinber þjónustustarfsemi getur einnig fallið hér undir.

Algengt er að vinnsla á vegum stjórnvalda geti bæði verið nauðsynleg til að fullnægja lagaskyldu og við beitingu opinbers valds. Almennt er gert ráð fyrir því að þegar fleiri en ein vinnsluheimild koma til greina, taki ábyrgðaraðilinn ákvörðun um við hvaða heimild skuli stuðst.

 

Vinnsla nauðsynleg til að gæta lögmætra hagsmuna

Vinnsla persónuupplýsinga getur byggst á því að hún sé nauðsynleg til að gæta lögmætra hagsmuna sem ábyrgðaraðili eða annar aðili gætir. Ef hagsmunir skráðs einstaklings af því að vinnslan fari ekki fram vega þyngra en hinir lögmætu hagsmunir af vinnslunni ætti vinnslan hins vegar ekki að vera framkvæmd. Þetta er sérstaklega mikilvægt ef unnið er með persónuupplýsingar um börn. Það þarf því ávallt að fara fram ákveðið hagsmunamat ef ætlunin er að styðjast við þessa vinnsluheimild.

Ýmis vinnsla persónuupplýsinga getur fallið hér undir, en þó geta stjórnvöld ekki byggt á lögmætum hagsmunum. Viðskiptahagsmunir, t.d. í tengslum við innheimtu fjárkrafna, geta þannig oft réttlætt ákveðna vinnslu persónuupplýsinga sem nauðsynleg er til að gæta þeirra hagsmuna. Sem fyrr þarf þó alltaf að huga að meginreglum persónuverndarlaga, meðal annars um meðalhóf, áreiðanleika og öryggi upplýsinga.

Um lögmæta hagsmuni gæti m.a. verið að ræða þegar: 

 

  1. viðeigandi tengsl sem máli skipta eru milli einstaklings og ábyrgðaraðilans, t.d. í tilvikum viðskiptalegs eðlis, 
  2. til að koma í veg fyrir svik, 
  3. vegna beinnar markaðssetningar, 
  4. miðlun upplýsinga innan fyrirtækjastofnunnar í þágu innri stjórnunar og
  5. í tengslum við net- og upplýsingaöryggi.

Þegar ábyrgðaraðili metur hvort hann geti stuðst við lögmæta hagsmuni hefur í framkvæmd verið litið svo á að framkvæma þurfi s.k. þriggja þrepa próf. 

Í fyrsta lagi þarf vinnsla að fara fram í þágu lögmætra hagsmuna ábyrgðaraðila eða þriðja aðila sem aðgang hefur að persónuupplýsingunum. 

Í öðru lagi er áskilið að vinnslan sé nauðsynleg í þágu þeirra hagsmuna. 

Í þriðja lagi megi hagsmunir og grundvallarréttindi hins skráða sem krefjast verndar persónuupplýsinga ekki vega þyngra en hagsmunir annarra af vinnslunni.

 

Fáni EvrópusambandsinsVinnsla þessara spurninga og svara var styrkt af Evrópusambandinu - The European Union's Rights, Equality and Citizenship Programme (2014-2020)

Spurningarnar og svörin eru unnin af Persónuvernd sem ber fulla ábyrgð á þeim. Framkvæmdastjórn Evrópusambandsins ber enga ábyrgð á notkun þeirra upplýsinga sem svörin hafa að geyma.

Var efnið hjálplegt? Nei