Allar spurningar og svör

Meginreglur persónuverndarlöggjafarinnar

Meginreglurnar sex eru oft kallaðar „gullnu reglurnar“ og þær eru taldar upp í persónuverndarlöggjöfinni. Meginreglurnar endurspeglast í mörgum ákvæðum löggjafarinnar, t.d. um réttindi einstaklinga.

Þegar unnið er með persónuupplýsingar þarf alltaf að hafa þessar meginreglur í huga og vinna með upplýsingarnar í samræmi við þær. Reglurnar eru

1. Sanngirnisreglan

Sanngirnisreglan lýtur fyrst og fremst að réttindum einstaklinga, t.d. upplýsingarétti þeirra og aðgangsrétti. Ábyrgðaraðilinn þarf að geta sýnt fram á að einstaklingar hafi fengið fullnægjandi fræðslu þegar það á við og hann þarf að veita einstaklingum aðgang að sínum persónuupplýsingum. Fara þarf yfir öll réttindin og kortleggja hvernig skuli veita þau.

Varðandi upplýsingaréttinn og fræðsluskylduna má taka sem dæmi að fyrirtæki skjalfesti í starfsmannahandbók að á hverju ári fari fram fræðsla um rafræna vöktun á vinnustaðnum. Starfsmenn skrái sig á mætingalista og þessu sé haldið til haga innan fyrirtækisins þar til fræðsla fer aftur fram að ári liðnu, en eftir það sé mætingalistanum eytt.

Sanngirnisreglan tekur líka til lögmætis vinnslunnar. Í því felst að ávallt þarf að vera til staðar heimild fyrir vinnslu persónuupplýsinga, til dæmis samþykki, lagaskylda eða lögmætir hagsmunir.

2. Tilgangsreglan

Tilgangsreglan lýtur fyrst og fremst að því hvenær skuli vinna persónuupplýsingar. Öll vinnsla verður að hafa skýran tilgang.

Hér getur skrá yfir vinnslustarfsemi, sem í flestum tilvikum er skylt að halda, verið gagnlegt tæki til að sýna fram á að ábyrgðarskyldan sé uppfyllt en í henni skal gera grein fyrir tilgangi hverrar vinnslustarfsemi fyrir sig. Skráin rammar þannig inn tilgang vinnslu og auðveldar alla eftirfarandi vinnu. Einnig geta önnur tól, t.d. framkvæmd mats á áhrifum á persónuvernd (MÁP), hjálpað við mat á því hvort tilgangur vinnslunnar er lögmætur og málefnalegur

3. Meðalhófsreglan

Meðalhófsreglan felur í sér að ekki á að vinna með meiri persónuupplýsingar en þörf er á. Hér geta tól á borð við skrá yfir vinnslustarfsemi og mat á áhrifum á persónuvernd (MÁP) hjálpað við mat á því hvort vinnslan er nægjanleg eða hvort verið er að safna upplýsingum sem ekki er þörf á að afla.

Oft er gagnlegt að átta sig á hvaða tegundir persónuupplýsinga og flokka einstaklinga vinna á með. Þá er ráð að spyrja sig hvers vegna þurfi að vinna með upplýsingarnar. Þetta tengist líka tilgangsreglunni, þ.e. tilgangurinn þarf að vera skýr svo að hægt sé að átta sig á því hvaða upplýsingar eru nauðsynlegar fyrir vinnsluna.

Sem dæmi má nefna stjórnvald sem tekur á móti almennum fyrirspurnum í gegnum fyrirspurnarform á vefsíðu sinni. Ekki er gert ráð fyrir að fyrirspurnir tengist tilteknum málum sem eru til meðferðar hjá stjórnvöldum. Stjórnvaldið telur því ekki nauðsynlegt að gera kröfu um fullt nafn og kennitölu einstaklinga, heldur nægir netfang viðkomandi til að hægt sé að svara fyrirspurninni.

4. Áreiðanleikareglan
Áreiðanleikareglan felur í sér að persónuupplýsingar skuli vera réttar. Til að geta sýnt fram á að farið hafi verið að henni getur verið nauðsynlegt að skjalfesta verklag um hvenær skuli uppfæra upplýsingar í upplýsingakerfum, til dæmis tengiliðaupplýsingar einstaklinga. Þetta getur verið sérstaklega mikilvægt þegar um er að ræða viðkvæmar persónuupplýsingar.

Í tilviki stjórnvalda og þeirra sem falla undir reglur um skilaskyldu til skjalasafna er sjaldnast hægt að eyða upplýsingum og því er mikilvægt að skrá réttar upplýsingar eða að bæta við lýsingu sem leiðréttir þær upplýsingar sem þegar hafa verið skráðar, þegar við á.

5. Varðveislureglan
Varðveislureglan felur í sér að eyða á persónuupplýsingum þegar þeirra er ekki lengur þörf vegna tilgangsins.

Það getur t.d. átt við um persónuupplýsingar í bókhaldi en almenna reglan er sú að bókhaldsgögnum má eyða eftir sjö ár. Þá getur verið tilefni til að eyða persónuupplýsingum sem finna má í slíkum gögnum. Ef geyma þarf upplýsingarnar lengur þarf að skjalfesta hvers vegna það er gert.

Annað raunhæft dæmi er varðveisla persónuupplýsinga um fyrrverandi starfsmenn. Sumar upplýsingar getur verið mikilvægt að varðveita lengi, svo sem upplýsingar um ástæður uppsagnar o.þ.h., en öðrum upplýsingum má líklega eyða eftir sjö ár, t.d. upplýsingum um orlof og fleira. Best er að skjalfesta verkferla um hvenær skuli eyða tilteknum tegundum persónuupplýsinga.

Hér getur skrá yfir vinnslustarfsemi einnig komið að gagni við að fá yfirlit yfir hvenær eyðing skuli fara fram.

6.Öryggisreglan
Öryggisreglan lýtur að því að tryggja öryggi persónuupplýsinga í hvívetna. Hún endurspeglast í mörgum ákvæðum persónuverndarlöggjafarinnar.

Þannig þarf ábyrgðaraðilinn að skjalfesta áhættumat hvað varðar öryggi persónuupplýsinganna og ákveða öryggisráðstafanir út frá niðurstöðu áhættumatsins. Í þessu felst líka skjalfesting þess þegar mat á áhrifum á persónuvernd (MÁP ) er framkvæmt og skjalfesting á verkferlum í tengslum við tilkynningu um öryggisbresti. Þá þarf ábyrgðaraðili einnig að halda skrá yfir alla öryggisbresti sem verða í starfseminni og geta sýnt Persónuvernd hana, sé þess óskað.


Fáni EvrópusambandsinsVinnsla þessara spurninga og svara var styrkt af Evrópusambandinu - The European Union's Rights, Equality and Citizenship Programme (2014-2020)

Spurningarnar og svörin eru unnin af Persónuvernd sem ber fulla ábyrgð á þeim. Framkvæmdastjórn Evrópusambandsins ber enga ábyrgð á notkun þeirra upplýsinga sem svörin hafa að geyma.


Var efnið hjálplegt? Nei