Allar spurningar og svör

Hvenær má vinna með persónuupplýsingar?

Öll vinnsla persónuupplýsinga verður að byggjast á heimild í persónuverndarlögum. Það fer eftir tilgangi vinnslunnar hvaða heimild getur átt við í hvert sinn. Engin ein heimild er rétthærri, mikilvægari eða betri en önnur.

Hvenær er heimilt að vinna með persónuupplýsingar?

Til þess að heimilt sé að vinna með persónuupplýsingar þarf ávallt að vera fyrir því lögmætur grundvöllur.

Öll vinnsla persónuupplýsinga verður að byggjast á einni af eftirfarandi sex heimildum til þess að hún teljist fara fram á lögmætum grundvelli:

  1. Samþykki þess sem persónuupplýsingarnar eru um (hins skráða) fyrir vinnslunni í þágu eins eða fleiri tiltekinna markmiða.
  2. Vinnslan er nauðsynleg til að efna samning sem hinn skráði er aðili að eða til að gera ráðstafanir að beiðni hins skráða áður en samningur er gerður.
  3. Vinnslan er nauðsynleg til að fullnægja lagaskyldu sem hvílir á þeim sem ákveður vinnsluna (ábyrgðaraðila).
  4. Vinnslan er nauðsynleg til að vernda brýna hagsmuni hins skráða eða annars einstaklings.
  5. Vinnslan er nauðsynleg vegna verks sem unnið er í þágu almannahagsmuna eða við beitingu opinbers valds sem ábyrgðaraðili fer með.
  6. Vinnslan er nauðsynleg vegna lögmætra hagsmuna sem ábyrgðaraðili eða einhver annar gætir, nema hagsmunir eða grundvallarréttindi og frelsi hins skráða, sem krefjast verndar persónuupplýsinga, vegi þyngra, einkum ef hinn skráði er barn.

Ef sú heimild sem byggt er á gerir kröfu um að vinnslan sé nauðsynleg þarf að gæta að því hvort unnt sé að ná sömu markmiðum án þess að vinna með persónuupplýsingar. Ef það er hægt þá er ekki lögmætur grundvöllur fyrir vinnslunni.

Það fer eftir tilgangi vinnslunnar hvaða heimild getur átt við í hvert sinn. Engin ein heimild er rétthærri, mikilvægari eða betri en önnur.

Ákveða þarf og skrá niður tilgang vinnslunnar og á hvaða heimild hún byggir áður en vinnsla hefst. Ekki má skipta um heimild eftir að vinnsla er hafin nema sérstaklega standi á.

Ef tilgangur vinnslunnar breytist eftir að hún er hafin getur hún áfram verið lögmæt á grundvelli sömu heimildar ef nýr tilgangur samrýmist upphaflegum tilgangi. Þetta á ekki við ef heimildin byggir á samþykki.

Til þess að vinnsla persónuupplýsinga sé lögmæt þarf hún jafnframt að vera í samræmi við meginreglur persónuverndarlaganna sem fjallað er um annars staðar á síðunni.

Gilda sérstakar reglur um stjórnvöld?

Séu stjórnvöld að vinna um persónuupplýsingar mega þau almennt ekki byggja á samþykki einstaklinga (1) eða á lögmætum hagsmunum (6) þegar þau sinna lögbundnu hlutverki sínu. Hins vegar getur stjórnvöldum í mörgum tilvikum verið heimilt að vinna persónuupplýsingar til að fullnægja lagaskyldu sem hvílir á þeim (3).


Fáni EvrópusambandsinsVinnsla þessara spurninga og svara var styrkt af Evrópusambandinu - The European Union's Rights, Equality and Citizenship Programme (2014-2020)

Spurningarnar og svörin eru unnin af Persónuvernd sem ber fulla ábyrgð á þeim. Framkvæmdastjórn Evrópusambandsins ber enga ábyrgð á notkun þeirra upplýsinga sem svörin hafa að geyma.


Var efnið hjálplegt? Nei