Reglur og reglugerðir

Reglur nr. 876/2018 um störf stjórnar Persónuverndar og skiptingu starfa gagnvart skrifstofu



REGLUR

um störf stjórnar Persónuverndar og skiptingu starfa gagnvart skrifstofu.


1. gr.

Gildissvið og markmið.

Reglur þessar gilda um starfsemi stjórnar Persónuverndar og skiptingu starfa á milli hennar og skrifstofu stofnunarinnar og eru settar með vísan til 3. mgr. 38. gr. laga um persónuvernd og vinnslu persónuupplýsinga nr. 90/2018. Reglurnar fjalla um framkvæmd starfa stjórnar Persónuverndar þar sem lagafyrirmælum sleppir.

Markmið reglnanna er að útfæra nánar hlutverk og verkefni stjórnar stofnunarinnar og fram-kvæmd starfa hennar, ásamt verkefnum stjórnarformanns og eftir því sem við á forstjóra og ritara stjórnar. Þá er tilgangur reglnanna að tryggja jafnræði í meðferð mála og sjálfstæða og gagnsæja meðhöndlun þeirra.


2. gr.

Hlutverk og verkefni stjórnar.

Hlutverk stjórnar er að móta áherslur í starfi í samráði við forstjóra Persónuverndar og fylgjast með starfsemi og rekstri stofnunarinnar. Þá skal stjórn taka meiri háttar efnislegar eða stefnumótandi ákvarðanir í málum sem stofnunin hefur til meðferðar, sbr. einnig nánari talningu í 3. mgr. Forstjóri ber ábyrgð á og annast daglega stjórnun á starfsemi, fjárreiðum og rekstri stofnunarinnar og ræður starfsmenn hennar.

Stjórn er hluti af innra skipulagi stofnunarinnar og kemur ekki fram sem sjálfstæður aðili.

Stjórn fjallar m.a. um og tekur ákvarðanir í eftirfarandi málum sem stofnunin hefur til meðferðar:

a. Úrskurðir í ágreiningsmálum vegna kvartana samkvæmt 2. mgr. 39. gr. laga um persónuvernd og vinnslu persónuupplýsinga sem eru stefnumótandi um túlkun laga og reglna um persónu-vernd.
b. Álagning stjórnvaldssekta samkvæmt 46. gr. laga um persónuvernd og vinnslu persónu-upplýsinga.
c. Álagning dagsekta samkvæmt 41. gr. laga um persónuvernd og vinnslu persónuupplýsinga.
d. Ákvörðun um að veita ábyrgðaraðila eða vinnsluaðila áminningu samkvæmt 2. tölul. 42. gr. laga um persónuvernd og vinnslu persónuupplýsinga.
e. Umsagnir um lagafrumvörp og drög að reglum þegar um er að ræða veigamikil álitaefni um vinnslu persónuupplýsinga.
f. Setning reglna á grundvelli laga um persónuvernd og vinnslu persónuupplýsinga og breyt-ingar á þeim.

Forstjóri getur ákveðið að leggja fyrir stjórn önnur mál sem mikilvæg eru talin.

Stjórn getur óskað eftir því að önnur mál verði kynnt í stjórn ef hún telur tilefni til.


3. gr.

Eftirlit með rekstri og áherslur í starfi.

Forstjóri kynnir fyrir stjórn rekstraráætlun stofnunarinnar fyrir næsta rekstrarár og annast sam-skipti við ráðuneyti og fjárveitingavald vegna fjárveitinga til stofnunarinnar.

Forstjóri kynnir fyrir stjórn drög að ársskýrslu Persónuverndar áður en hún er birt.

Stjórn leitast við að skilgreina árangursmælikvarða að fengnum tillögum frá forstjóra sem reglu-lega er fylgt eftir. Áherslur Persónuverndar skulu endurskoðaðar a.m.k. árlega.


4. gr.

Skipun stjórnar og skipting starfa innan stjórnar.

Ráðherra sem fer með málefni persónuverndar skipar fimm menn í stjórn Persónuverndar og jafnmarga til vara til fimm ára í senn. Formann og varaformann stjórnarinnar skipar ráðherra án tilnefningar og skulu þeir vera lögfræðingar og fullnægja hæfisskilyrðum héraðsdómara. Ráðherra sem fer með málefni netöryggis og fjarskipta tilnefnir einn stjórnarmann og ráðherra sem fer með málefni heilbrigðisþjónustu tilnefnir einn stjórnarmann. Þá tilnefnir Skýrslutæknifélag Íslands einn stjórnarmann og skal hann vera sérfróður á sviði tölvu- og tæknimála.

Fyrir stjórnina starfar ritari sem valinn er að tillögu forstjóra úr hópi starfsliðs Persónuverndar.


5. gr.

Skyldur stjórnarmanna.

Stjórnarmenn skulu kynna sér lög og reglur sem gilda um rekstur og starfsemi Persónuverndar og hafa skilning á hlutverki og ábyrgð sinni sem stjórnarmenn.

Í störfum sínum skulu stjórnarmenn:
a. verja nægjanlegum tíma til að sinna stjórnarstörfum af kostgæfni,
b. óska eftir og kynna sér öll gögn og upplýsingar sem þeir telja sig þurfa til að hafa fullnægjandi skilning á rekstri og starfsemi Persónuverndar,
c. stuðla að góðum starfsanda og samvinnu innan stjórnar,
d. taka sjálfstæðar ákvarðanir í hverju máli fyrir sig,
e. koma í veg fyrir að málefni þeirra eða tengdra aðila, hvort heldur persónuleg eða viðskipta-tengd, leiði til beinna eða óbeinna hagsmunaárekstra á milli þeirra, Persónuverndar og/eða þriðju aðila sem tengjast einstökum málum sem til umfjöllunar eru hjá stofnuninni.

Stjórn metur reglulega störf sín, verklag og starfshætti. Slíkt árangursmat felur m.a. í sér að stjórnin leggi mat á styrkleika og veikleika í störfum og verklagi og hugi að þeim atriðum sem hún telur að betur megi fara.


6. gr.

Hlutverk og verkefni stjórnarformanns.

Formaður stjórnar hefur forgöngu um að stjórn gegni hlutverki sínu með skilvirkum og skipu-lögðum hætti.

Helstu verkefni stjórnarformanns eru að:
a. ákveða tímasetningu og boðun til stjórnarfunda og undirbúa fundardagskrá í samstarfi við forstjóra og ritara stjórnar,
b. stýra stjórnarfundum og tryggja að nægur tími sé gefinn til umræðna og ákvarðanatöku, sérstaklega hvað varðar stærri og flóknari mál,
c. stuðla að virkri þátttöku allra stjórnarmanna í umræðu og ákvarðanatöku,
d. hafa forgöngu um að starfa eftir starfsreglum stjórnar og góðum stjórnarháttum, ásamt reglu-legri endurskoðun þar á,
e. sjá til þess að nýir stjórnarmenn fái nauðsynlegar upplýsingar og leiðsögn í starfsháttum stjórnar og málefnum Persónuverndar, m.a. um hlutverk hennar, stefnu, markmið og starfsemi,
f. fylgjast með framvindu ákvarðana stjórnar innan Persónuverndar.


7. gr.

Fyrirkomulag stjórnarfunda.

Stjórn fundar að jafnaði mánaðarlega nema forföll eða sumarleyfi hamli, en oftar þegar ástæða er til og í samræmi við reglur þessar. Formanni ber að kalla saman fund ef stjórnarmaður eða forstjóri krefst þess.

Á reglulegum stjórnarfundum eru eftirfarandi mál tekin fyrir að jafnaði:
a. Fundargerð síðasta fundar.
b. Mál sem lögð eru fyrir stjórn skv. 2. gr.
c. Upplýsingagjöf forstjóra um starfsemi Persónuverndar og mál sem eru til meðferðar hjá stofnuninni.

Nú telur formaður eða forstjóri ekki stætt á því vegna sérstakra aðstæðna að bíða þess að haldinn verði reglulegur stjórnarfundur og getur formaður þá tekið ákvörðun um símafund stjórnar eða að málefnið verði kynnt og tekið fyrir af stjórn skriflega, rafrænt eða símleiðis. Ákvarðanir sem þannig eru teknar skulu lagðar fyrir næsta fund til staðfestingar í fundargerð.

Stjórnarmenn skulu tilkynna forföll eins fljótt og kostur er. Ef forföll eru boðuð skal formaður í samráði við forstjóra taka ákvörðun um hvort fundur verði engu að síður haldinn, enda haldi stjórn ályktunarhæfi sínu skv. 8. gr., en ella skal fundi frestað. Formaður stjórnar ákveður hvort varamaður er boðaður til að sitja í einstöku máli á dagskrá fundar þar sem stjórnarmaður víkur sæti og annast ritari stjórnar þá boðun varamanns. Varamaður tekur sæti fyrir stjórnarmann sem tilnefndur er af sama aðila.

Fundir skulu haldnir á skrifstofu Persónuverndar. Í sérstökum tilvikum má halda fund annars staðar telji formaður efni fundarins eða aðrar aðstæður gefa tilefni til. Heimilt er að stjórnarmenn taki þátt í stjórnarstörfum símleiðis eða með fjarfundarbúnaði og skal þess þá getið í fundargerð.

Dagskrá fundar skal tilkynnt með minnst 4 virkra daga fyrirvara en varði mál meiri háttar efnis-lega ákvörðun skal dagskrá kynnt með a.m.k. 6 virkra daga fyrirvara verði því við komið. Stjórnar-menn skulu snúa sér til stjórnarformanns með mál sem þeir óska að verði tekið á dagskrá stjórnarfundar.

Skrifleg fundargögn sem varða fyrirhugaða ákvörðun stjórnar skulu send stjórnarmönnum minnst 4 virkum dögum fyrir fund eða gerð aðgengileg með rafrænum hætti, nema formaður ákveði annað í sérstökum tilvikum. Varði mál meiri háttar efnislega ákvörðun skulu gögn hins vegar kynnt með a.m.k. 6 virkra daga fyrirvara verði því við komið.

Mál skal almennt ekki borið upp til ákvörðunar á stjórnarfundi nema því aðeins að stjórnarmenn hafi fengið gögn málsins eða fullnægjandi upplýsingar um það fyrir fundinn og haft tíma til að kynna sér efni þess.

Stjórnarmaður getur óskað eftir frestun á afgreiðslu máls og skal máli frestað til næsta reglulega fundar, nema veigamiklir hagsmunir Persónuverndar eða annarra mæli gegn slíkri frestun.

Forstjóri á sæti á fundum stjórnar og hefur þar umræðu- og tillögurétt.

Stjórn og forstjóri geta kallað til aðra starfsmenn Persónuverndar á fund til þátttöku í einstökum málum.


8. gr.

Ályktunarhæfi.

Stjórn er bær til þess að taka ákvarðanir ef þrír stjórnarmenn sitja fund eða varamenn í forföllum þeirra. Séu stjórnarmenn ekki sammála ræður einfaldur meirihluta atkvæða úrslitum um niðurstöður. Ef atkvæði falla jafnt ræður atkvæði formanns.


9. gr.

Hæfi stjórnarmanna.

Stjórnarmenn skulu í hvívetna gæta að hæfi sínu við umfjöllun einstakra mála. Stjórnarmenn skulu tilkynna formanni og ritara stjórnar eins fljótt og unnt er fyrir fund ef þeir telja sig vanhæfa til að taka þátt í ákvörðun um einstök mál sem eru á dagskrá. Séu stjórnarmenn í vafa um hvort þeir séu vanhæfir skulu þeir láta formann stjórnar vita af viðkomandi tengslum svo unnt sé að meta hæfi viðkomandi. Telji forstjóri eða formaður stjórnar að stjórnarmaður sé vanhæfur til þess að taka þátt í umfjöllun máls er þeim heimilt að krefjast þess að hann víki sæti áður en efni málsins er kynnt.

Um sérstakt hæfi stjórnarmanna fer samkvæmt 3. gr. stjórnsýslulaga nr. 37/1993. Teljist stjórnar-maður vanhæfur skal varamaður taka sæti hans, hafi hann verið boðaður á fund af þessum ástæðum. Tekur viðkomandi stjórnarmaður þá ekki þátt í undirbúningi, meðferð eða ákvörðun í hinu tiltekna máli og tekur varamaður sæti í hans stað.

Stjórnarmenn og forstjóri skulu upplýsa um hagsmunatengsl sín og tengdra aðila við upphaf starfa sem og allar breytingar sem verða á högum þeirra á starfstíma þeirra. Með hagsmunatengslum er átt við upplýsingar sem varða stjórnarmann, forstjóra og aðila þeim tengda eftir því sem við á, og varða:
a. eignarhluti í hvers kyns félögum,
b. fyrri aðkomu að málum sem geta komið til athugunar hjá Persónuvernd,
c. önnur trúnaðarstörf, þ. á m. stjórnarsetu,
d. önnur möguleg hagsmunatengsl.

Forstjóri skal sjá til þess að skrá um hagsmunatengsl stjórnarmanna og forstjóra sé haldin og uppfærð reglulega. Skal skráin aðgengileg stjórnarmönnum, forstjóra og persónuverndarfulltrúa.

Þegar dagskrá stjórnarfundar liggur fyrir skal forstjóri í samráði við formann stjórnar ganga úr skugga um sérstakt hæfi stjórnarmanna og/eða forstjóra til þátttöku í meðferð máls.


10. gr.

Fundargerðir stjórnarfunda.

Ritari stjórnar ritar fundargerð um það sem gerist á stjórnarfundum og um ákvarðanir stjórnar.

Í fundargerð skal skrá eftirfarandi:
a. Hvar og hvenær fundurinn er haldinn.
b. Númer stjórnarfundar.
c. Hverjir sitja fundinn og hver stýri honum.
d. Dagskrá fundarins.
e. Hvort einstök mál eru til upplýsingar, umræðu eða ákvörðunar.
f. Hvaða gögn fylgja hverjum dagskrárlið.
g. Hvaða gögnum var dreift fyrir fundinn og hvaða gögnum var dreift á fundinum.
h. Ef stjórnarmaður, forstjóri eða annar víkur af fundi við umræðu eða ákvörðun dagskrárliðar og hvort viðkomandi hafði aðgang að gögnum vegna umræðu eða ákvörðunar.
i. Umfjöllunarefni á fundum og hvaða ákvarðanir hafa verið teknar og eftir því sem við á helstu forsendur sem liggja fyrir ákvörðun.
j. Hver hafi ritað fundargerðina.

Stjórnarmenn og forstjóri eiga rétt á því að fá sérálit sín skráð í fundargerðina.

Drög að fundargerð skulu send stjórnarmönnum og forstjóra innan tveggja virkra daga frá stjórnarfundi og þeim gefið færi á að gera athugasemdir við drögin. Fundargerð skal formlega staðfest með undirritun stjórnarmanna, ef við á, með breytingum á næsta stjórnarfundi. Staðfest fundargerð telst full sönnun þess sem gerst hefur á stjórnarfundum.

Fundargerðir skulu varðveittar með tryggum hætti í málaskrárkerfi stofnunarinnar.

Varamenn skulu hafa aðgang að fundargerðum þeirra funda sem þeir sitja. Varamenn geta óskað eftir fundargerðum þeirra funda sem þeir sátu ekki ef þurfa þykir.


11. gr.

Upplýsingagjöf.

Allir stjórnarmenn hafa jafnan rétt til upplýsinga um starfsemi Persónuverndar og skal veittur aðgangur að öllum þeim upplýsingum sem veittar eru einstökum stjórnarmönnum, hvort sem um er að ræða gögn vegna stjórnarfunda eða einstakra fyrirspurna stjórnarmanna. Varamenn eiga sama rétt vegna mála sem þeir taka þátt í meðferð á í forföllum aðalmanna. Ávallt þarf að gæta að hæfi stjórnar-manns og varamanns í tengslum við slíka beiðni.

Stjórnarmenn geta sent efnislegar fyrirspurnir til forstjóra á milli stjórnarfunda um einstök mál sem varða rekstur og starfsemi Persónuverndar. Slíkar fyrirspurnir skulu gerðar með tölvupósti sem aðrir stjórnarmenn fá afrit af (cc.). Svör við fyrirspurnum skulu kynnt stjórninni allri á sama tíma.

Stjórnarmenn skulu almennt ekki afla upplýsinga með því að hafa samband við starfsmenn Persónuverndar, nema sérstaklega standi á, s.s. varðandi launagreiðslur til þeirra. Starfsmönnun er heimilt að leita ráðgjafar hjá stjórnarmönnum með hliðsjón af fagþekkingu þeirra.


12. gr.

Þagnarskylda.

Þeim sem sitja stjórnarfund og þeim sem hafa aðgang að fundargögnum er óheimilt að skýra frá þeim atriðum sem þeir verða áskynja um og leynt eiga að fara. Þagnarskyldan helst þótt látið sé af starfi.

Stjórnarmaður skal varðveita öll gögn með tryggilegum hætti sem hann fær afhent sem stjórnar-maður og tryggja eyðingu þeirra með öruggum hætti þegar ekki er lengur þörf á þeim í tengslum við meðferð mála hjá stjórn.

Stjórnarmenn skulu almennt ekki tjá sig við fjölmiðla eða snúa sér til almennings varðandi mál-efni Persónuverndar.


13. gr.

Varsla og meðferð starfsreglna.

Frumrit starfsreglna þessara með áorðnum breytingum ef við á, skal ritari stjórnar varðveita með tryggilegum hætti með fundargerðum stjórnar Persónuverndar og fylgigögnum fundargerða.

Þeir sem eiga sæti í stjórn við setningu starfsreglna þessara skulu undirrita frumrit þeirra. Ef stjórn samþykkir breytingar á starfsreglunum skulu stjórnarmenn undirrita frumrit af reglunum svo breyttum. Nýjum stjórnarmönnum skulu kynntar starfsreglurnar og skulu þeir undirrita frumrit þeirra því til staðfestu.


14. gr.

Gildistaka o.fl.

Reglur þessar eru settar með stoð í 3. mgr. 38. gr. laga um persónuvernd og vinnslu persónu-upplýsinga nr. 90/2018 og öðlast gildi þegar í stað. Jafnframt eru felldar úr gildi reglur nr. 231/2012.


Þannig samþykkt á fundi stjórnar, 18. september 2018.


Björg Thorarensen,
formaður stjórnar Persónuverndar.


Aðalsteinn Jónasson 
stjórnarmaður.

Ólafur Garðarsson
stjórnarmaður.

Vilhelmína Haraldsdóttir
stjórnarmaður.

Þorvarður Kári Ólafsson
stjórnarmaður.




Auglýsing nr. 228/2010 um flutning persónuupplýsinga til annarra landa (með síðari breytingum)

1. gr.

Flutningur persónuupplýsinga úr landi. Fullnægjandi vernd.

Lög eftirtalinna ríkja teljast veita persónuupplýsingum fullnægjandi vernd í skilningi 29. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga og er því heimilt að flytja persónuupplýsingar til þeirra, að fullnægðum skilyrðum laganna:

a.     Aðildarríki EES og EFTA,

b.     Sviss,

c.     Kanada,

d.     Argentína,

e.     Guernsey,

f.      Mön,

g.     Jersey,

h.     [Færeyjar,

i.      Andorra,

j.      Ísrael.]1)

k.     [Úrúgvæ]2)

l.      [Nýja Sjáland]3

1)Auglýsing nr. 108/2012

2)Auglýsing nr. 419/2013

3)Auglýsing nr. 1316/2013

 

 [...]1

 

1)Auglýsing nr. 1036/2015

[2, gr].1), 2)

Heimilt er að flytja persónuupplýsingar til aðila í Bandaríkjunum sem falla undir reglur um frið­helgis­skjöld (e. privacy shield) samkvæmt ákvörðun framkvæmdastjórnarinnar (ESB) 2016/1250.

1)Auglýsing nr. 1036/2015

2)Auglýsing nr. 953/2016

[3. gr.]1)

Staðlaðir samningsskilmálar.

Við veitingu leyfis til flutnings persónuupplýsinga til lands, sem ekki veitir fullnægjandi persónuupplýsingavernd, sbr. 2. mgr. 30. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga, getur Persónuvernd m.a. gert að skilyrði:

1. Að ábyrgðaraðili hér á landi geri skriflegan samning við erlendan viðtakanda í samræmi við ákvörðun framkvæmdastjórnar ESB nr. 2001/497/EB frá 15. júní 2001 um föst samningsákvæði vegna flutnings persónuupplýsinga til þriðju landa samkvæmt tilskipun 95/46/EB frá (Stjtíð. EB L 181, 4.7.2001, bls. 19), eins og hún var leiðrétt með Stjtíð. EB L 253, 21.9.2001, bls. 34, og eins og henni var breytt með ákvörðun framkvæmdastjórnarinnar nr. 2004/915/EB frá 27. desember 2004 (Stjtíð. EB L 385, 29.12.2004, bls. 74. (Ákvörðun nr. 9/2006. (EES-viðbætir 17/10, 30.3.2006). Gildistaka: 28.1.2006)).

2. Að ábyrgðaraðili hér á landi geri skriflegan samning við erlendan viðtakanda í samræmi við ákvörðun framkvæmdastjórnar ESB nr. 2010/87/EB frá 5. febrúar 2010 um stöðluð samningsákvæði vegna flutnings persónuupplýsinga til vinnsluaðila með staðfestu í þriðju löndum samkvæmt tilskipun 95/46/EB.

1)Auglýsing nr. 953/2016

[4].1)2) gr.

Gildistaka o.fl.

Auglýsing þessi er gefin út með stoð í 1. mgr. 6. gr., 4. mgr. 13. gr. og 2. mgr. 29. gr. og 2. mgr. 30. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga, sbr. lög nr. 90/2001. Samhliða birtingu hennar fellur úr gildi fyrri auglýsing um sama efni nr. 638/2005, eins og henni var breytt með auglýsingu nr. 1041/2006 og 425/2009.

1)Auglýsing nr. 1036/2015

2)Auglýsing nr. 953/2016

 

Persónuvernd, 1. mars 2010.

Aðalsteinn E. Jónasson.

Sigrún Jóhannesdóttir.



Reglur nr. 1100/2008 um meðferð persónuupplýsinga við framkvæmd erfðarannsókna

1. gr.

Markmið og gildissvið.

Markmið reglna þessara er að stuðla að því að við vinnslu með erfðaefni manna og upp­lýsingar um það sé réttur manna til verndar persónuupplýsinga og friðhelgi einkalífs virtur.

Reglurnar taka einungis til slíkrar vinnslu í þágu afmarkaðra vísindarannsókna, þ.e. þegar unnið er á grundvelli tiltekinnar rannsóknartilgátu og hún prófuð. Þá taka þær aðeins til vinnslu sem byggist á upplýstu samþykki þátttakenda í viðkomandi rannsókn. Þær gilda þó einnig hafi þeir samþykkt þátttöku í annarri vísindarannsókn en þá jafnframt samþykkt að þær upplýsingar, sem aflað yrði við framkvæmd hennar, yrðu varðveittar til nota í þágu annarra rannsókna.

Rannsóknir, þar sem aðeins er unnið með hluta af erfðaefni manns, sem ekki verður með neinu móti rakið til hans, falla utan gildissviðs reglnanna. Einnig falla utan gildissviðs reglnanna athuganir á erfðaefni manna vegna annars en vísindarannsókna, s.s. vegna sjúkdómsmeðferðar eða rannsóknar brotamáls. Þá fellur söfnun persónuupplýsinga í gagnagrunna, sem ekki fer fram í þágu fyrirfram skilgreindra og afmarkaðra vísinda­rannsókna, utan gildissviðs reglnanna.

Um öflun lífsýna úr lífsýnasöfnum fer samkvæmt 3. mgr. 9. gr. laga nr. 110/2000 um lífsýnasöfn. Þá fer um öflun upplýsinga úr sjúkraskrám samkvæmt 3. mgr. 15. gr. laga nr. 74/1997 um réttindi sjúklinga og upplýsinga úr heilbrigðisskrám skipulögðum af Land­læknisembættinu samkvæmt 8. mgr. 8. gr. laga nr. 41/2007 um landlækni.

2. gr.

Merking hugtaka.

Merking hugtaka í reglum þessum er sem hér segir:

  1. Erfðaefni: Efni í litningum manna, nánar tiltekið:
    1. Erfðaefni sem rakið verður til tiltekins manns, þ.e. efni í litningum manna sem hefur að geyma mynstur sem er sérstakt fyrir hvern og einn ein­stakling og greinir menn hvern frá öðrum (deoxýríbósakjarnsýra: DKS (e. deoxyribonucleic acid: DNA)).
    2. Hluti erfðaefnis sem ekki verður rakinn til tiltekins manns,þ.e. efni í litningum manna sem ekki hefur að geyma slíkt mynstur að greini þá hvern frá öðrum (m.a. ríbósakjarnsýra: RKS (e. ribonucleic acid: RNA)).
  2. Vísindarannsókn á heilbrigðissviði: Afmörkuð vísindarannsókn sem gerð er til að auka þekkingu sem m.a. gerir kleift að bæta heilsu og lækna sjúkdóma.
  3. Erfðarannsókn: Afmörkuð vísindarannsókn þar sem gerðar eru athuganir og unnið með upplýsingar um erfðaefni manna.
  4. Samþykki: Sérstök, ótvíræð yfirlýsing sem einstaklingur gefur af fúsum og frjálsum vilja um að hann sé samþykkur vinnslu tiltekinna upplýsinga um sig og að honum sé kunnugt um tilgang hennar, hvernig hún fari fram, hvernig persónu­vernd verði tryggð, um að honum sé heimilt að afturkalla samþykki sitt o.s.frv. Samþykki manns getur m.a. staðið til:
    1. þátttöku í tiltekinni erfðarannsókn og að unnið sé með >persónuupplýsingar um hann í tengslum við þá rannsókn.
    2. þátttöku í tiltekinni erfðarannsókn, að unnið sé með persónuupplýsingar um hann í tengslum við þá rannsókn og að slíkar upplýsingar um hann séu varðveittar til frambúðar svo að þær megi nota í öðrum erfðarannsóknum.
  5. Rannsóknarúrtak: Hópur einstaklinga sem erfðarannsókn lýtur að og hefur þá svipgerð sem til rannsóknar er. Í rannsóknarúrtaki geta einnig, eftir atvikum, verið ættingjar einstaklinga með þá svipgerð.
  6. Samanburðarhópur: Hópur einstaklinga sem hafður er til samanburðar við rannsóknarúrtak.
  7. Tengslagreining: Samanburður á erfðaefni skyldra einstaklinga í því skyni að finna erfðabreytileika sem á þátt í svipgerð.
  8. Víðtæk erfðamengisleit: Samanburður óháður skyldleika á tölfræðilegum niður­stöðum um tíðni tiltekins erfðabreytileika annars vegar hjá þeim sem eru í rannsóknarúrtaki og hins vegar þeim sem eru í samanburðarhópi.
  9. Arfgerð: Erfðafræðileg samsetning manns.
  10. Svipgerð: Eiginleikar einstaklings, s.s. augnlitur, hæð og heilsufar.

3. gr.

Upplýst samþykki og fræðsla.

Áður en einstaklingur tekur þátt í erfðarannsókn með því að gefa lífsýni og veita um sig persónuupplýsingar skal aflað samþykkis hans í samræmi við reglur Persónuverndar nr. 170/2001 um það hvernig afla skal upplýsts samþykkis fyrir vinnslu persónu­upplýsinga í vísindarannsókn á heilbrigðissviði.

Áður en þess er óskað að maður samþykki þátttöku í erfðarannsókn skal honum, auk þeirra atriða sem talin eru upp í reglum nr. 170/2001, veitt fræðsla um eftirfarandi atriði:

  1. Hvort lífsýnum og öðrum upplýsingum verði eytt að rannsókn lokinni eða hvort óskað sé samþykkis fyrir varðveislu erfðaefnis og annarra gagna til notkunar í öðrum rannsóknum, enda séu þær fyrirsjáanlegar.
  2. Hvort fyrirhugað sé að afla frekari heilsufarsupplýsinga um þátttakendur síðar meir vegna annarra rannsókna og til frambúðarvarðveislu án þess að aflað sé nýs samþykkis.
  3. Hvaða aðferð verði beitt, s.s. hvort fram fari tengslagreining, víðtæk erfða­mengis­leit eða hvort beitt verði öðrum rannsóknaraðferðum.
  4. Hvort fyrirhugað sé að hafa samband við ættingja viðkomandi til að bjóða þeim að taka þátt í rannsókninni; slíkt má aðeins gera í samráði við og á grundvelli hans sjálfs.
  5. Hvort fyrirhugað sé að samnýta þær persónuupplýsingar, sem unnið er með við gerð rannsóknarinnar, með upplýsingum úr öðrum vísindarannsóknum.
  6. Hvort viðkomandi fái síðar upplýsingar um eigin arfgerð, s.s. vegna beiðni um þátttöku í nýrri rannsókn, enda óski hann þess sérstaklega.

4. gr.

Auðkenning gagna.

Lífsýni og heilsufarsupplýsingar, sem unnið er með við framkvæmd erfðarannsókna, skal auðkenna með rannsóknar- eða dulkóðunarnúmerum í stað persónuauðkenna.

Þeir sem vinna með erfðaefnisupplýsingar, í tengslum við framkvæmd erfðarannsóknar, skulu ekki jafnframt hafa aðgang að persónuauðkennum.

5. gr.

Upplýsingaöryggi.

Við framkvæmd erfðarannsókna skulu rannsakendur gera viðeigandi tæknilegar og skipulags­legar öryggisráðstafanir til að vernda lífsýni og önnur rannsóknargögn gegn ólöglegri eyðingu, gegn því að þau glatist eða breytist fyrir slysni og gegn óleyfilegum aðgangi.

Lífsýni og önnur gögn skulu hýst á fyrirfram skilgreindum svæðum er lúta skýrri aðgangs­stjórnun. Ytra umhverfi þeirra skal haga þannig að girt sé fyrir óheimilan aðgang, skemmdir og truflanir. Þegar vinnudegi lýkur, eða þegar ekki er verið að vinna með sýni og önnur gögn, skal varðveita þau eftir því sem við verður komið í læstum hirslum eða með öðrum jafn tryggum hætti.

Viðhafa skal sérstakar ráðstafanir til að draga úr hættu á truflunum, að rekstur rofni eða lífsýni og aðrar persónuupplýsingar skaðist. Í því skyni skal viðhafa vinnuferli er tryggi órofinn rekstur rannsóknastofu og dragi úr hættu á truflunum vegna óhappa eða annarra atvika sem ógna öryggi hennar, t.d. af völdum náttúruhamfara, slysa, bilunar í hugbúnaði eða skemmdarverka. Skal annars vegar viðhafa fyrirbyggjandi ráðstafanir og hins vegar ráðstafanir er geri kleift að endurræsa hrunin kerfi og eftir atvikum að endurheimta upplýsingar sem kunna að hafa glatast eða skemmst.

Við framkvæmd erfðarannsóknar skal stýra aðgangi að lífsýnum og öðrum gögnum þannig að einungis þeir hafi aðgang sem þess nauðsynlega þurfa vegna rannsóknar­starfs. Greiningar- eða dulkóðunarlykill, sbr. 4. gr. reglna þessara, skal varðveittur á öruggum stað aðskilinn frá öðrum gögnum. Heimilt er að semja við sérstakan vinnsluaðila, sbr. 5. tölul. 2. gr. laga nr. 77/2000, um varðveislu og meðferð hans. Samningur við vinnsluaðila skal vera skriflegur og samrýmast 13. gr. laga nr. 77/2000.

Persónuupplýsingum, sem tengjast rannsóknum á erfðaefni, skal haldið aðskildum frá öðrum gögnum. Við uppsetningu tölvukerfa, sem notuð eru við slíka vinnu, skal setja upp trausta eldveggi til að tryggja slíkan aðskilnað.

Við samkeyrslu upplýsinga um erfðaefni og heilsuhagi við aðrar upplýsingar, s.s. um ætterni, skal notast við dulkóðunar- eða rannsóknarnúmer.

Við notkun greiningar- eða afkóðunarlykils, og við dulkóðun gagna að öðru leyti, skal fylgja sérhæfðu vinnuferli sem samþykkt hefur verið af Persónuvernd. Slíkt vinnuferli skal tryggja að þegar upplýsingar eru raktar til hlutaðeigandi einstaklinga, s.s. í því skyni að hafa samband við þá aftur til að afla nýrra lífsýna, sé farið að 2. mgr. 4. gr. reglna þessara. Í sama skyni skal einnig viðhafa sérstakt vinnuferli við merkingu lífsýna og annarra gagna með greiningar- eða dulkóðunarnúmerum í stað persónuauðkenna.

Gagnaverndarfulltrúi eða dulkóðunarstjóri, sem samþykktur hefur verið af Persónuvernd, skal hafa dulkóðun með höndum. Hann skal, óháð því hvort hann er starfsmaður ábyrgðar­aðila eða vinnsluaðila, sbr. 4. og 5. tölul. 2. gr. laga nr. 77/2000, vinna sjálfstætt. Með reglulegu millibili skal hann kynna Persónuvernd þá vinnuferla sem notaðir eru og skila greinargerð um sína vinnu.

Heilsufarsupplýsingar, sem aflað er frá t.d. heilbrigðisstofnunum, skulu sendar með öruggum hætti til dulkóðunarstjóra eða annars aðila sem hefur með höndum merkingu gagna með greiningar- eða dulkóðunarnúmerum. Gögn á pappírsformi skulu send í innsigluðu umslagi. Hið sama gildir um gögn sem send eru á færanlegum geymslu­miðlum, s.s. ferðatölvum eða geisladiskum. Ef gögn eru send rafrænt skal notast við öruggar fjarskiptarásir og dulkóðun. Í flutningi skal tryggt að persónuupplýsingar á færanlegum geymslumiðlum séu dulkóðaðar.

Auk framangreinds skal við framkvæmd erfðarannsókna farið að reglum nr. 299/2001 um öryggi persónuupplýsinga, sbr. 11.-13. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga. Eftir því sem við á skal einnig farið að reglum nr. 918/2001 um öryggi við meðferð og varðveislu lífsýna í lífsýnasöfnum, sbr. 1. mgr. 5. gr. laga nr. 110/2000 um lífsýnasöfn.

6. gr.

Nálgun við þátttakendur á grundvelli arfgerðar.

Óheimilt er að nýta upplýsingar um arfgerð manna, sem til hafa orðið við gerð erfða­rannsóknar, til að velja hugsanlega þátttakendur í nýja rannsókn og biðja þá um að taka þátt í henni. Þetta er þó leyfilegt hafi viðkomandi einstaklingar veitt til þess ótvíræða heimild þegar þeir samþykktu þátttöku í fyrri rannsókninni að fenginni fræðslu um þá þýðingu sem vitneskja um arfgerð þeirra getur haft í tengslum við heilsuhagi.

7. gr.

Samnýting upplýsinga.

Óheimilt er að fella gögn um þátttakendur úr einni erfðarannsókn í aðra erfðarannsókn nema viðkomandi einstaklingar hafi samþykkt það. Ef í því felst að viðkomandi þátt­takendur séu upplýstir um arfgerð sína skal fræðsla til þeirra þar að lútandi samrýmast 2. málsl. 6. gr. reglna þessara.

8. gr.

Varðveisla niðurstaðna úr erfðarannsóknum.

Öll varðveisla niðurstaðna úr erfðarannsóknum, sem með einhverju móti eru rekjanlegar til viðkomandi einstaklinga, skal vera í samræmi við það samþykki sem hver og einn einstaklingur veitti. Upplýsingar teljast vera rekjanlegar ef unnt er að persónugreina þær með notkun greiningar- eða dulkóðunarlykils. Á það við enda þótt gögn hafi verið flutt úr landi, svo fremi lykillinn sé til og unnt að rekja upplýsingarnar til einstaklinga, s.s. með afkóðun dulkóðaðra gagna. Sama á við ef niðurstöður rannsókna á erfðaefni hafa að geyma það nákvæmar upplýsingar um erfðaefnið að samkeyra má þær við skrár um arfgerð viðkomandi einstaklinga og tengja niðurstöðurnar þannig við þá.

9. gr.

Meðferð lífsýna og annarra gagna að rannsókn lokinni.

Að rannsókn lokinni skal lífsýnum, greiningar- eða dulkóðunarlykli og öðrum persónu­upplýsingum eytt nema viðkomandi hafi samþykkt annað. Er þá áskilið að veitt hafi verið fræðsla um tilgang varðveislunnar og hvernig sýni og persónuupplýsingar verði nýttar framvegis. Eftir því sem við á skal við varðveisluna farið að lögum nr. 110/2000 um lífsýnasöfn.

Hafi lífsýna verið aflað úr lífsýnasafni, með stoð í leyfi Persónuverndar samkvæmt 3. mgr. 9. gr. laga nr. 110/2000, skal þeim annaðhvort eytt eða þau send aftur á við­komandi lífsýnasafn eftir því sem nánar er mælt fyrir um í leyfi stofnunarinnar. Þó skal heimilt að varðveita lífsýnin í lífsýnasafni á vegum rannsakenda, sem fullnægir skilyrðum laga nr. 110/2000, hafi viðkomandi einstaklingar samþykkt það.

10. gr.

Flutningur lífsýna og annarra rannsóknargagna úr landi.

Heimilt er að senda lífsýni og önnur gögn, sem aflað hefur verið vegna tiltekinnar erfða­rannsóknar, til athugana á erfðaefni og öðrum þáttum í þágu rannsóknarinnar hjá aðila í landi sem veitir persónuupplýsingum fullnægjandi vernd, sbr. 29. gr. laga nr. 77/2000, sbr. 1. gr. og 1. mgr. 2. gr. auglýsingar nr. 638/2005 um flutning persónu­upplýsinga til annarra landa.

Flutningur lífsýna og annarra gagna í framangreindu skyni er óheimill til aðila í löndum, sem ekki veita persónuupplýsingum fullnægjandi vernd í skilningi áðurnefndra ákvæða, nema því aðeins að:

  1. fullnægt sé einhverju af skilyrðum 1. mgr. 30. gr. laga nr. 77/2000, s.s. að viðkomandi einstaklingar hafi veitt upplýst samþykki að fenginni fræðslu þar sem viðkomandi land hefur verið tilgreint og fjallað hefur verið um tilgang flutnings lífsýna og annarra rannsóknargagna þangað; eða
  2. Persónuvernd veiti leyfi til flutningsins á grundvelli þess að fullnægjandi tryggingar séu veittar fyrir vernd upplýsinganna hjá viðtakanda, s.s. að gerður sé skriflegur samningur með ákvæðum þar að lútandi eða fyrir liggi skrifleg, undirrituð yfirlýsing viðtakanda þar sem nægar tryggingar koma fram, auk þess sem hann lýsir því yfir að hann álíti yfirlýsinguna vera ígildi samnings, sbr. 2. mgr. 30. gr. laga nr. 77/2000.

Þegar rannsóknir hafa verið gerðar á lífsýnum í öðru landi skal þeim annaðhvort eytt eða afgangur þeirra sendur til baka. Það á þó ekki við ef viðkomandi einstaklingar veita sérstakt samþykki fyrir varðveislu þeirra erlendis að fenginni skriflegri fræðslu þar sem varðveislustaður er skýrlega tilgreindur, sem og tilgangur varðveislunnar. Hið sama gildir um önnur gögn en lífsýni.

Samningur eða yfirlýsing samkvæmt 2. tölul. 2. mgr. skal hafa að geyma ákvæði um varðveislu og eyðingu lífsýna og annarra gagna.

Óheimilt er að senda greiningarlykil með lífsýnum eða öðrum rannsóknargögnum sem send eru utan, nema því aðeins að slíkt sé nauðsynlegt í þágu viðkomandi rannsóknar og hlutaðeigandi einstaklingar hafi samþykkt það sérstaklega.

11. gr.

Tilkynningarskylda.

Vinnsla persónuupplýsinga vegna hverrar, einstakrar erfðarannsóknar skal tilkynnt til Persónuverndar í samræmi við 31. og 32. gr. laga nr. 77/2000, sbr. reglur nr. 712/2008 um tilkynningarskylda og leyfisskylda vinnslu persónuupplýsinga.

Þeir sem hafa með höndum erfðarannsóknir skulu einnig senda Persónuvernd skriflega lýsingu á því vinnuferli sem fylgt er við slíkar rannsóknir, þ. á m. hvernig samþykkis þátttakenda er aflað, hvort og þá hvernig upplýsingar eru samkeyrðar og hvernig öryggis upplýsinga er gætt. Ef fylgt er sama vinnuferli við fleiri en eina rannsókn á vegum sama aðila nægir ein, sameiginleg, skrifleg lýsing fyrir allar þær rannsóknir sem lýsingin á við um. Persónuvernd skal greint skriflega frá öllum breytingum á vinnuferlinu sem ekki geta talist minniháttar.

Persónuvernd getur mælt fyrir um að gerðar skuli nauðsynlegar breytingar á vinnuferli til að tryggt sé að vinnsla persónuupplýsinga samrýmist lögum, sbr. 1. mgr. 40. gr. laga nr. 77/2000.

12. gr.

Gildistaka o.fl.

Reglur þessar, sem settar eru samkvæmt heimild í 2. mgr. 29. gr., 2. mgr. 30. gr., 3. mgr. 32. gr. og 2. málsl. 33. gr. laga nr. 77/2000 um persónuvernd og meðferð persónu­upplýsinga, öðlast þegar gildi.

Reglur nr. 712/2008 um tilkynningarskylda og leyfisskylda vinnslu persónuupplýsinga, með síðari breytingum

I. KAFLI
Almenn ákvæði.

1. gr.
Gildissvið.

Reglur þessar gilda um leyfisskyldu vegna vinnslu persónuupplýsinga, um tilkynningarskyldu vegna rafrænnar vinnslu persónuupplýsinga og um undanþágur frá þeirri skyldu.

Reglur þessar taka ekki til vinnslu persónuupplýsinga sem varða almannaöryggi, landvarnir, öryggi ríkisins og starfsemi ríkisins á sviði refsivörslu, sbr. 2. mgr. 3. gr. laga nr. 77/2000. Um tilkynningarskyldu lögreglu fer samkvæmt reglugerð nr. 322/2001 um meðferð persónuupplýsinga hjá lögreglu.

Reglurnar gilda ekki um meðferð einstaklings á persónuupplýsingum sem eingöngu varða einkahagi hans eða eru einvörðungu ætlaðar til persónulegra nota, sbr. 2. mgr. 3. gr. laga nr. 77/2000.

Reglurnar gilda ekki um vinnslu persónuupplýsinga sem fer einvörðungu fram í þágu fréttamennsku.

2. gr.
Skilgreiningar.

Í reglum þessum er merking hugtaka sem hér segir:

1. >Persónuupplýsingar, sbr. 1. tl. 2. gr. laga nr. 77/2000: Sérhverjar persónugreindar eða persónugreinanlegar upplýsingar um hinn skráða, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi.

2. Viðkvæmar persónuupplýsingar, sbr. 8. tl. 2. gr. laga nr. 77/2000:

a. Upplýsingar um uppruna, litarhátt, kynþátt, stjórnmálaskoðanir, svo og trúar- eða aðrar lífsskoðanir.

b. Upplýsingar um hvort maður hafi verið grunaður, kærður, ákærður eða dæmdur fyrir refsiverðan verknað.

c. Upplýsingar um heilsuhagi, þar á meðal um erfðaeiginleika, lyfja-, áfengis- og vímuefnanotkun.

d. Upplýsingar um kynlíf manna og kynhegðan.

e. Upplýsingar um stéttarfélagsaðild.

3. Almennar persónuupplýsingar: Persónuupplýsingar sem ekki teljast viðkvæmar í skilningi 2. tl.

4. Dulkóðun: Umbreyting orða eða talna í leynilegan kóða sem dylur merkingu þeirra.

5. Miðlæg skrá: Skrá með upplýsingum um alla einstaklinga hér á landi sem uppfylla ákveðin viðmið, óháð búsetu.

6. Rafræn vöktun: Vöktun sem er viðvarandi eða endurtekin reglulega og felur í sér eftirlit með fólki með fjarstýrðum eða sjálfvirkum rafrænum búnaði og leiðir, á að leiða eða getur leitt til vinnslu persónuupplýsinga.

7. Upplýst samþykki: Sérstök, ótvíræð yfirlýsing sem einstaklingur gefur af fúsum og frjálsum vilja um að hann sé samþykkur vinnslu tiltekinna upplýsinga um sig og að honum sé kunnugt um tilgang hennar, hvernig hún fari fram, hvernig persónuvernd verði tryggð, um að honum sé heimilt að afturkalla samþykki sitt o.s.frv.

8. Vinnsla: Sérhver aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur sem vinnslan er handvirk eða rafræn. Til vinnslu teljast m.a. söfnun, skráning, kerfisbinding, geymsla, aðlögun eða breyting, heimt, leit, notkun, miðlun með framsendingu, dreifing eða aðrar aðferðir til að gera upplýsingarnar tiltækar, samantenging eða samkeyrsla, aðgangstakmörkun, afmáun eða eyðilegging.

9. Ábyrgðaraðili, sbr. 4. tl. 2. gr. laga nr. 77/2000: Aðili sem ákveður tilgang vinnslu persónuupplýsinga, þann búnað sem notaður er, aðferð við vinnsluna og aðra ráðstöfun upplýsinganna.

10. Vinnsluaðili, sbr. 5. tl. 2. gr. laga nr. 77/2000: Aðili sem vinnur persónuupplýsingar á vegum ábyrgðaraðila.

3. gr.
Ábyrgð ábyrgðaraðila.

Sé vinnsla persónuupplýsinga háð leyfi frá Persónuvernd, skv. ákvæðum laga eða reglna þessara, ber ábyrgðaraðili vinnslu ábyrgð á því að sækja um slíkt leyfi og haga vinnslunni ávallt í samræmi við útgefið leyfi. Sé vinnsla tilkynningarskyld, skv. ákvæðum laga eða reglna þessara, ber ábyrgðaraðili vinnslu ábyrgð á því að Persónuvernd berist tilkynning um hana og að vinnslu sé ávallt hagað í samræmi við innsenda tilkynningu.

Eftirlit Persónuverndar haggar í engu ábyrgð ábyrgðaraðila á vinnslu persónuupplýsinga. Þótt Persónuvernd geri ekki athugasemdir við innsenda tilkynningu hefur það ekki þýðingu fyrir mat á lögmæti vinnslunnar.

II. KAFLI
Leyfisskyld vinnsla persónuupplýsinga.

4. gr.
Leyfisskyld vinnsla persónuupplýsinga.

Eftirfarandi vinnsla persónuupplýsinga er háð skriflegri heimild Persónuverndar:

1. Samkeyrsla skráar sem hefur að geyma viðkvæmar persónuupplýsingar við aðra skrá, hvort sem sú hefur að geyma almennar eða viðkvæmar persónuupplýsingar. Slík samkeyrsla er þó ekki leyfisskyld:

a. ef einvörðungu er samkeyrt við upplýsingar úr þjóðskrá um nafn, kennitölu, fyrirtækjanúmer, heimilisfang, aðsetur og póstnúmer, eða

b. ef samkeyrðar eru skrár sama ábyrgðaraðila, þó að undanskildum miðlægum skrám sem innihalda viðkvæmar persónuupplýsingar.

2. Vinnsla upplýsinga um refsiverðan verknað manns og sakaferil, upplýsingar um lyfja-, áfengis- og vímuefnanotkun, kynlíf og kynhegðan, nema vinnslan sé nauðsynlegur og eðlilegur þáttur í starfsemi viðkomandi aðila.

4. Söfnun persónuupplýsinga um fjárhagsmálefni og lánstraust einstaklinga í þeim tilgangi að miðla þeim til annarra.

5. Vinnsla upplýsinga um félagsleg vandamál manna eða önnur einkalífsatriði, s.s. hjónaskilnaði, samvistarslit, ættleiðingar og fóstursamninga, nema vinnslan sé nauðsynlegur og eðlilegur þáttur í starfsemi viðkomandi aðila.

6. Vinnsla persónuupplýsinga sem felur í sér að nafn manns er fært á skrá eftir fyrirfram ákveðnum viðmiðum og upplýsingunum miðlað til þriðja aðila í því skyni að neita manninum um tiltekna fyrirgreiðslu eða þjónustu.

7. Miðlun viðkvæmra persónuupplýsinga í þágu vísindarannsóknar, enda standi ábyrgðaraðili þeirra upplýsinga sem miðlað er ekki að framkvæmd rannsóknarinnar.

[8. Miðlun viðkvæmra persónuupplýsinga, sem varðveittar eru hjá stjórnvöldum, í þágu rannsókna. Hið sama á við ef miðlun felur í sér sérstaka hættu á að farið verði í bága við réttindi og frelsi skráðra aðila. Persónuvernd getur ákveðið að leyfisskylda stjórnvalds falli brott þegar settar hafa verið almennar reglur og öryggisstaðlar sem fylgja skal við slíka miðlun.]4

Þrátt fyrir ákvæði 1. mgr. er vinnsla persónuupplýsinga ekki háð heimild Persónuverndar byggi hún á upplýstu samþykki eða fyrirmælum laga. [Þá þarf ekki leyfi til vinnslu persónuupplýsinga um látna menn í tengslum við framkvæmd vísindarannsókna þar sem unnið er með erfðaefni þeirra (DNA), enda sé:

  • Ekki um að ræða upplýsingar sem falla undir 2. tölul. 2. gr. reglna þessara.
  • Vinnslu hagað í samræmi við reglur nr. 1100/2008.
  • Ljóst að hinn skráði hafi hvergi með sannanlegum hætti andmælt vinnslu persónuupplýsinga um sig í þágu vísindarannsókna.]1)

[Aðgangur að sjúkraskrám vegna vísindarannsókna er ávallt háður leyfi Persónuverndar, sbr. 15. gr. laga um réttindi sjúklinga nr. 74/1997.]2) [Hið sama gildir um aðgang að lífsýnum í lífsýnasöfnum í sama skyni, sbr. 3. mgr. 9. gr. laga um lífsýnasöfn nr. 110/2000.]3)

1) Reglur nr. 423/2010, 1. gr.

2) Reglur nr. 927/2009, 1. gr.

3) Reglur nr. 423/2010, 2. gr.

4) Reglur nr. 548/2013, 1. gr.

III. KAFLI
Tilkynningarskyld vinnsla persónuupplýsinga.

5. gr.
Tilkynningarskyld vinnsla viðkvæmra persónuupplýsinga.

Rafræn vinnsla viðkvæmra persónuupplýsinga er tilkynningarskyld nema hún sé leyfisskyld samkvæmt ákvæði 4. gr. Þó er stjórnmálaflokkum, trúfélögum, stéttarfélögum og öðrum sambærilegum aðilum sem starfa ekki í hagnaðarskyni ekki skylt að tilkynna vinnslu viðkvæmra persónuupplýsinga um félagsmenn sína, enda teljist vinnslan eðlilegur þáttur í lögmætri starfsemi þessara aðila.

6. gr.
Tilkynningarskyld vinnsla almennra persónuupplýsinga.

Rafræn vinnsla almennra persónuupplýsinga er tilkynningarskyld. Vinnsla er þó ekki tilkynningarskyld ef hún:

1. Er háð leyfi Persónuverndar samkvæmt ákvæði 4. gr.

2. Er nauðsynlegur, eðlilegur og venjubundinn þáttur í starfsemi viðkomandi aðila og taki einungis til þeirra er tengjast starfi hans eða verksviði, svo sem viðskiptamanna, starfsmanna eða félagsmanna.

3. Er ábyrgðaraðila nauðsynleg til efnda á lagaskyldum.

4. Er ábyrgðaraðila nauðsynleg til efnda á skyldum hans samkvæmt samningi við hinn skráða eða samkvæmt samningi aðila vinnumarkaðarins.

5. Lýtur að upplýsingum sem gerðar hafa verið og eru almenningi aðgengilegar, enda sé ekki um að ræða vinnslu sem felst í því að tengja upplýsingar saman og nota almennt aðgengilegar upplýsingar með öðrum persónuupplýsingum sem ekki hafa verið gerðar aðgengilegar.

Skylt er að tilkynna vinnslu persónuupplýsinga um hegðun og mat á árangri einstaklinga, s.s. frammistöðumat starfsmanna, vinnslu persónuupplýsinga sem fer fram í þeim tilgangi að fella einstaklinga inn í persónusnið eða kerfisbundna hljóðritun símtala.

7. gr.
Vinnsla sem fram fer með rafrænni vöktun.

Ábyrgðaraðila að vinnslu sem fram fer með rafrænni vöktun ber að senda Persónuvernd tilkynningu um hana. Það á þó ekki við sé vöktunin nauðsynleg, fari einungis fram í öryggis- og eignavörsluskyni, þeir sem eru vaktaðir, s.s. nemendur eða starfsmenn, hafi fengið fræðslu um vöktunina í samræmi við 20. gr. laga nr. 77/2000 og aðrir hafi fengið viðvaranir í samræmi við 24. gr. sömu laga. Að öðru leyti fer um úrvinnslu efnis, s.s. hljóð- eða myndefnis, sem til verður við rafræna vöktun samkvæmt 4., 5. og 6. gr. reglna þessara.

[Ekki er skylt að senda Persónuvernd tilkynningu um sjálfvirka og óhjákvæmilega vöktun sem fram fer á netþjónum á vinnustöðum og í skólum.]4)

4) Reglur nr. 927/2009, 2. gr.

8. gr.
Hvenær má hefja vinnslu.

Ábyrgðaraðili skal senda Persónuvernd tilkynningu um vinnslu tímanlega áður en hún hefst. Honum er heimilt að hefja vinnslu um leið og tilkynning hefur verið send en skal stöðva hana berist honum tilmæli frá Persónuvernd þar að lútandi.

Heimilt er að hefja leyfisskylda vinnslu þegar skriflegt leyfi Persónuverndar er komið til ábyrgðaraðila.

9. gr.
Form og efni tilkynninga.

Tilkynningu til Persónuverndar skal koma á framfæri á þar til gerðu eyðublaði sem er að finna á heimasíðu Persónuverndar, eða á prentuðu eyðublaði sem liggur frammi á skrifstofu Persónuverndar.

Í samræmi við 32. gr. laga nr. 77/2000 skal í tilkynningu tilgreina eftirfarandi atriði:

1. nafn og heimilisfang ábyrgðaraðila og, eftir atvikum, fulltrúa hans sem hefur staðfestu hér á landi skv. 5. mgr. 6. gr. laga nr. 77/2000;
2. hver ber daglega ábyrgð á að uppfylla skyldur ábyrgðaraðila;
3. tilgang vinnslunnar;

4. skilgreiningu og aðra lýsingu á þeim tegundum upplýsinga sem notaðar verða við vinnslu;
5. hvert upplýsingarnar eru sóttar;
6. þá heimild sem stendur til söfnunar upplýsinganna;
7. hverjum upplýsingarnar verða afhentar;
8. hvort ráðgert sé að flytja persónuupplýsingarnar úr landi;
9. hvort ráðgert sé að birta upplýsingarnar á netinu;
10. hvaða öryggisráðstafanir verða viðhafðar í vinnslunni;
11. hvort og hvenær persónuupplýsingum eða persónuauðkennum verði eytt;
12. hvernig uppfyllt séu fyrirmæli 20. og 21. gr. laga nr. 77/2000 um fræðsluskyldu.

Þar skal og koma fram hvort um sé að ræða nýja tilkynningu eða tilkynningu um breytingu á vinnslu. Sé um að ræða tilkynningu um breytingu skal tilgreina númer eldri tilkynningar. Í tilkynningu skal og tilgreina kennitölu tilkynnanda. Verði vinnsla falin vinnsluaðila, í heild eða að hluta til, skal og tilgreina kennitölu hans og skyldur hans samkvæmt samningi hans og ábyrgðaraðila.

10. gr.
Breytingar á tilkynntri vinnslu.

Verði breytingar á tilkynntri vinnslu, s.s. ef unnið er með aðra tegund upplýsinga, upplýsingarnar afhentar öðrum eða gerðar tiltækar á annan hátt en tilgreint var í hinni upphaflegu tilkynningu, eða þær notaðar á annan hátt, t.d. með samtengingu, eða í öðrum tilgangi en þeim upphaflega, skal senda Persónuvernd nýja tilkynningu þannig að stofnunin hafi á hverjum tíma réttar upplýsingar um vinnsluna.

IV. KAFLI
Um flutning persónuupplýsinga úr landi.

11. gr.
Leyfisskyldur flutningur persónuupplýsinga úr landi.

Flutningur persónuupplýsinga til ríkis sem telst veita fullnægjandi vernd samkvæmt lögum nr. 77/2000, er ekki tilkynningarskyldur.

Flutningur persónuupplýsinga til ríkis sem ekki telst veita persónuupplýsingum fullnægjandi vernd er háður skriflegri heimild Persónuverndar, enda hafi ábyrgðaraðili veitt nægilegar tryggingar fyrir vernd upplýsinganna. Þetta gildir ekki ef undanþáguákvæði í lögum nr. 77/2000 heimila slíkan flutning. Að öðru leyti fer um flutninginn eftir V. kafla þeirra laga.

V. KAFLI
Önnur ákvæði.

12. gr.
Eftirlit.

Persónuvernd fer með eftirlit með framkvæmd reglna þessara. Um heimildir Persónuverndar fer samkvæmt ákvæðum laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga.

13. gr.
Gildistaka o.fl.

Reglur þessar, sem settar eru samkvæmt heimild í 2. mgr. 30. gr., 3. mgr. 31. gr., 2. mgr. 32. gr. og 33. gr. laga nr. 77/2000, um persónuvernd og meðferð persónu­upplýsinga, öðlast þegar gildi.

Persónuvernd, 19. apríl 2010.

*Breytt með reglum 927/2009.

*Breytt með reglum 423/2010.

*Breytt með reglum 548/2013.

Reglur nr. 837/2006 um rafræna vöktun og meðferð persónuupplýsinga sem verða til við rafræna vöktun

1. gr.
Markmið og gildissvið.

Markmið reglna þessara er að stuðla að því að jafnvægi ríki milli einkalífsréttar annars vegar og hins vegar hagsmuna ábyrgðaraðila af því að tryggja öryggi og hafa eðlilegt eftirlit með starfsmönnum og öðrum sem sæta rafrænni vöktun, m.a. með því hvernig sá hug- og vélbúnaður sem hann leggur til sé nýttur í þágu viðkomandi starfsemi.

[Reglur þessar gilda um rafræna vöktun á vinnustöðum, í skólum og á öðrum svæðum þar sem takmarkaður hópur fólks fer um að jafnaði. Reglurnar gilda óháð því hvers konar tæknibúnaður er notaður, s.s. hvort notaðir eru netþjónar, búnaður til að fylgjast með símanotkun, eftirlitsmyndavélar, vefmyndavélar, ökuritar, rafrænn staðsetningarbúnaður o.s.frv. Þær gilda þó ekki um búnað til að fylgjast með mætingum, s.s. stimpilkortavélar.]1)

1) Reglur nr. 394/2008, 1. gr.

2. gr.
Merking hugtaka.

Merking hugtaka í reglum þessum er sem hér segir:

1. Rafræn vöktun: Vöktun sem er viðvarandi eða endurtekin reglulega og felur í sér eftirlit með einstaklingum sem fram fer með fjarstýrðum eða sjálfvirkum búnaði. Hugtakið tekur til:

  1. vöktunar sem felur í sér vinnslu persónuupplýsinga, eða leiðir, á að leiða eða getur leitt til slíkrar vinnslu, og
  2. vöktunar sem hvorki felur í sér söfnun myndefnis né annarra persónuupplýsinga.

2. Ábyrgðaraðili: Sá aðili sem ákveður tilgang rafrænnar vöktunar, þann búnað sem notaður er, aðferð við vöktunina og ráðstöfun upplýsinga sem til verða.

3. Einkatölvupóstur: Tölvupóstur sem sendur er eða móttekinn með vél- eða hugbúnaði ábyrgðaraðila, s.s vinnuveitanda, og lýtur að einkalífi viðkomandi, en varðar hvorki hagsmuni ábyrgðaraðila né þá starfsemi sem hann rekur. Til viðmiðunar um það hvort um slíkan póst er að ræða má m.a. líta til þess hvort hann sé:

  1. auðkenndur sem einkamál í efnislínu eða er að öðru leyti þannig að augljóst sé að um einkatölvupóst er að ræða
  2. vistaður í sérstakri möppu á vinnusvæði í tölvupóstkerfi sem er auðkennd sem einkamál eða ef af öðru má ráða að hún hafi þannig efni að geyma.

4. Netnotkun: Notkun einstaklings á hug- og vélbúnaði sem ábyrgðaraðili lætur honum í té, t.d. til að vafra um netið, til að taka við og senda tölvupóst eða til snarspjalls (msn).

5. Atburðaskráning: Aðgerð til að tryggja rekjanleika upplýsinga og vinnsluaðgerða í tölvukerfum (þ.e. með log-skrám).

6. Símvöktun: Viðvarandi eða reglubundin söfnun upplýsinga um símanotkun einstaklings, s.s. með skráningu upplýsinga um valin númer eða hljóðritun símtala.

[7. Ökuriti: Rafrænn búnaður í farartæki sem vinnur eða gerir unnt að vinna persónuupplýsingar um ökumenn, þ. á m. um ferðir þeirra og/eða aksturslag.]1)

8. Rafrænn staðsetningarbúnaður: Rafrænn búnaður sem vinnur eða gerir unnt að vinna persónuupplýsingar um staðsetningu og ferðir einstaklinga, s.s. örmerkjabúnaður (RFID).

1) Reglur nr. 394/2008, 2. gr.

3. gr.
Vöktun með leynd.

Vöktun með leynd er óheimil nema hún styðjist við lagaheimild eða úrskurð dómara.

4. gr.
Tilgangur.

Rafræn vöktun verður að fara fram í yfirlýstum, skýrum og málefnalegum tilgangi, s.s. í þágu öryggis eða eignavörslu.

5. gr.
Meðalhóf
.

Við alla rafræna vöktun skal þess gætt að ganga ekki lengra en brýna nauðsyn ber til miðað við þann tilgang sem að er stefnt. Skal gæta þess að virða einkalífsrétt þeirra sem sæta vöktun og forðast alla óþarfa íhlutun í einkalíf þeirra. Við ákvörðun um hvort viðhafa skuli rafræna vöktun skal því ávallt gengið úr skugga um hvort markmiðinu með slíkri vöktun sé unnt að ná með öðrum og vægari raunhæfum úrræðum.

6. gr.
Sérákvæði um vöktun með vinnuskilum.

Vöktun til að mæla vinnu og afköst starfsmanna er háð því að hennar sé sérstök þörf s.s. vegna þess:

  1. að ekki sé unnt að koma við verkstjórn með öðrum hætti; eða
  2. að án vöktunarinnar sé ekki unnt að tryggja öryggi á viðkomandi svæði, s.s. í ljósi laga og sjónarmiða um hollustuhætti og mengunarvarnir; eða
  3. að hún sé nauðsynleg vegna ákvæða kjarasamnings eða annars konar samkomulags um launakjör, s.s. þegar laun eru byggð á afkastatengdu, tímamældu launakerfi.

7. gr.
Varðveisla, miðlun, eyðing og 
önnur meðferð persónuupplýsinga.

Óheimilt er að varðveita persónuupplýsingar sem til verða við rafæna vöktun nema það sé nauðsynlegt í ljósi tilgangs vöktunarinnar.

Persónuupplýsingum sem safnast við rafræna vöktun skal eytt þegar ekki er lengur málefnaleg ástæða til að varðveita þær. Málefnaleg ástæða til varðveislu upplýsinga getur m.a. byggst á fyrirmælum í lögum eða því að ábyrgðaraðili vinni enn með þær í samræmi við upphaflegan tilgang með öflun þeirra. Upplýsingar sem verða til við rafræna vöktun má þó ekki varðveita lengur en í 90 daga nema lög heimili. Þetta á ekki við um persónuupplýsingar sem verða til við atburðaskráningu eða eru geymdar á öryggisafritum. Sama á við um upplýsingar [sem nauðsynlegar eru til að krafa verði afmörkuð, sett fram eða varin vegna dómsmáls eða annarra slíkra laganauðsynja.]1)

Persónuupplýsingar sem til verða við rafræna vöktun má aðeins nota í þágu tilgangs með söfnun þeirra og aðeins að því marki sem þess gerist þörf í þágu tilgangsins. Þær má ekki vinna með eða afhenda öðrum nema með samþykki hins skráða eða samkvæmt ákvörðun Persónuverndar. Þó er heimilt að afhenda lögreglu upplýsingar um slys eða meintan refsiverðan verknað.

1) Reglur nr. 869/2014, 1. gr.

8. gr.
[Sérákvæði um vöktun með ferðum manna.

Notkun ökurita eða rafræns staðsetningarbúnaðar í þeim tilgangi að fylgjast með ferðum einstaklinga er háð því skilyrði að hennar sé sérstök þörf til að ná lögmætum og málefnalegum tilgangi.]1)

1) Reglur nr. 394/2008, 3. gr.

9. gr.
Sérákvæði um tölvupóst og netnotkun.

Óheimilt er að skoða einkatölvupóst nema brýna nauðsyn beri til s.s. vegna tölvuveiru eða sambærilegs tæknilegs atviks. [Tilvikabundin skoðun vinnuveitanda á tölvupósti starfsmanns er óheimil nema uppfyllt séu ákvæði 7., 8., og eftir atvikum, 9. gr. laga nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga, s.s. ef grunur er uppi um brot starfsmanns gegn trúnaðar- eða vinnuskyldum.]1)

Heimilt er að skoða upplýsingar um netvafur, tengingar og gagnamagn starfsmanns eða nemanda liggi fyrir rökstuddur grunur um að hann hafi brotið gegn gildandi lögum og reglum eða fyrirmælum vinnuveitanda eða skólayfirvalda. Sé tilefni skoðunar grunur um refsiverðan verknað skal óska atbeina lögreglu.

Þegar tölvupósts- eða netnotkun er skoðuð skal þess gætt að gera starfsmanni eða nemanda fyrst grein fyrir því og veita honum færi á að vera viðstaddur slíka skoðun. Þetta á þó ekki við sé þess enginn kostur s.s. vegna alvarlegra veikinda starfsmanns. Geti starfsmaður ekki verið viðstaddur skoðunina sjálfur skal veita honum færi á að tilnefna annan mann í sinn stað.

Við starfslok skal starfsmanni gefinn kostur á að eyða eða taka afrit af þeim tölvupósti sem ekki tengist starfsemi vinnuveitandans. Tölvupósti nemenda skal eytt við námslok en áður skal veita hæfilegan frest til töku afrita. [Við starfslok skal starfsmanni leiðbeint um að virkja sjálfvirka svörun úr sínu pósthólfi um að hann hafi látið af störfum. Eigi síðar en að tveimur vikum liðnum skal loka pósthólfinu. Vinnuveitanda er óheimilt að senda áfram á annan starfsmann þann póst sem berst í pósthólf fyrrverandi starfsmanns eftir starfslok, nema um annað hafi verið samið.]2)Óheimilt er að skoða upplýsingar um netnotkun starfsmanns eða nemanda eftir starfs- eða námslok, nema að uppfylltum sömu skilyrðum og greinir í 1.-3. mgr. eða annað leiði af lögum.

1) Reglur nr. 475/2011, 1. mgr. 1. gr.,  2) Reglur nr. 475/2011, 2. mgr. 1. gr. 

10. gr.
Fræðslu- og upplýsingaskylda.

Ábyrgðaraðili að rafrænni vöktun skal setja reglur og/eða veita fræðslu til þeirra sem henni sæta, sbr. þó að ekki er átt við tilkynningu í samræmi við 48. gr. laga nr. 81/2003 um fjarskipti. Áður en slíkum reglum er beitt skal kynna þær með sannanlegum hætti, s.s. við gerð ráðningarsamnings.

Reglur eða fræðsla samkvæmt 1. mgr. skulu taka til tilgangs vöktunarinnar, hverjir hafi eða kunni að fá aðgang að upplýsingum sem safnast og hversu lengi þær verði varðveittar. Ef kjarasamningur eða samkomulag, sem telja verður bindandi milli aðila, felur í sér ríkari rétt en leiðir af slíkum reglum þá víkja þær síðarnefndu.

Að öðru leyti en greinir í 2. mgr. skal, eftir því sem við á, tilgreina eftirfarandi:

  1. Hvaða búnaður er notaður, t.d. stafrænar myndavélar, ökusíritar eða hljóðupptökutæki.
  2. Rétt til að andmæla vöktuninni og hverjar geti verið afleiðingar þess.
  3. Rétt viðkomandi til að fá að vita hvaða upplýsingar verða til um hann og um rétt hans til að fá upplýsingar leiðréttar eða þeim eytt.
  4. Að hvaða marki netnotkun sé heimil, s.s. hvort bannað sé að sækja á netið ólöglegt og/eða kynlífstengt efni og/eða senda slíkt með tölvupósti.
  5. Hvernig farið sé með einkatölvupóst og annan tölvupóst.
  6. Hvort símvöktun fari fram og hvort takmarkanir, og þá hvaða, séu á heimild til einkanota á tilgreindum símtækjum.
  7. Afleiðingar þess ef brotið er gegn fyrirmælum, s.s. um notkun síma eða internets.
  8. Önnur atriði, að því marki sem þörf krefur með hliðsjón af aðstæðum hverju sinni, svo að starfsmenn geti gætt hagsmuna sinna.

Ákvæði 1.-3. mgr. gilda ekki ef ótvírætt má ætla að sá sem vöktuninni sætir hafi þegar vitneskju um þau atriði sem þar eru talin.

11. gr.
Tilkynningarskylda.

Ábyrgðaraðila að rafrænni vöktun ber að senda Persónuvernd tilkynningu um hana í samræmi við gildandi reglur um tilkynningarskylda og leyfisskylda vinnslu persónuupplýsinga. Þar skulu koma fram upplýsingar um tilhögun vöktunarinnar, þá fræðslu sem veitt hefur verið um hana og að öðru leyti þau atriði sem tilgreind eru í 32. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga.

12. gr.
Réttur til að skoða gögn sem til
verða við rafræna vöktun.

Sá sem sætt hefur rafrænni vöktun á rétt á að skoða gögn, s.s. fá að hlusta á hljóðupptökur, sem til verða um hann við vöktunina, í samræmi við 18. gr. laga nr. 77/2000, enda standi ákvæði 2. mgr. 19. gr. laganna því ekki í vegi. Beiðni um slíkt má hvort heldur sem er setja fram munnlega eða skriflega.

vinnsluaðili, skal svo fljótt sem verða má og eigi síðar en innan eins mánaðar frá móttöku erindis verða við beiðni samkvæmt 1. mgr. Komi upp ágreiningur má vísa honum til úrlausnar Persónuverndar. Getur Persónuvernd þá lagt fyrir ábyrgðaraðila að varðveita gögn þar til niðurstaða hennar liggur fyrir.

13. gr.
Stöðvun rafrænnar vöktunar.

Persónuvernd getur mælt fyrir um stöðvun rafrænnar vöktunar sem brýtur í bága við ákvæði reglna þessara og um eyðingu þess efnis sem til hefur orðið.

14. gr.
Heimild.

Reglur þessar, sem settar eru samkvæmt heimild í 5. mgr. 37. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga, sbr. 5. gr. laga nr. 81/2002, taka þegar gildi.

Samhliða gildistöku þeirra falla úr gildi reglur nr. 888/2004 um rafræna vöktun.

Persónuvernd, 19. mars 2008

* Breytt með reglum nr. 394/2008.

* Breytt með reglum nr. 475/2011.

* Breytt með reglum nr. 869/2014.

Reglur nr. 36/2005 um skráningu einstaklinga, sem andmæla því að nöfn þeirra séu notuð í markaðssetningarstarfsemi og notkun slíkrar skrár (bannskrá Þjóðskrár)

1. gr.

Hagstofa Íslands, þjóðskrá skal halda skrá yfir nöfn þeirra manna sem andmæla því að nöfn þeirra séu notuð í markaðssetningarstarfsemi. Skrá þessi er nefnd „bannskrá“ í reglum þessum.

2. gr.

Með andmælum við markaðssetningarstarfsemi er átt við að menn óski eftir því að nöfn þeirra verði felld niður við notkun hvers kyns skráa, sem beitt kann að vera í markaðssetningarskyni.

Með markaðssetningarstarfsemi er átt við útsendingu dreifibréfa, happdrættismiða, gíróseðla, auglýsinga og kynningarefnis, símhringingar, útsendingu tölvupósts eða hliðstæðar aðferðir, sem varða kaup eða leigu á vöru eða þjónustu eða þátttöku í tiltekinni starfsemi, hvort sem hún er viðskiptalegs eðlis eða varðar tómstundir, afþreyingu, námskeið eða sambærilegt atferli.

3. gr.

Þeir sem vilja skrá nöfn sín á bannskrá Hagstofunnar skulu snúa sér til þjóðskrár með slíka ósk. Þjóðskrá skal verða við beiðni manna um skráningu á bannskrá fyrir þá sjálfa og ólögráða börn þeirra svo og um skráningu annarra heimilismanna hafi þeir lagt fram skriflega ósk þar að lútandi eða veitt umboð til þess.

4. gr.

Þeim sem stunda markaðssetningarstarfsemi er skylt að beita bannskrá við starfsemi sína samkvæmt 2. mgr. 2. gr. þessara reglna.

5. gr.

Bannskrá er hluti af rafrænu gagnasafni þjóðskrár.

Bannskrár má afla hjá þeim fyrirtækjum (miðlurum) sem miðla þjóðskrárupplýsingum samkvæmt samningi við Hagstofu Íslands, þjóðskrá. Miðlarar þjóðskrár mega veita aðgang að bannskrá gegn gjaldi sem hér segir:

a. með afhendingu sjálfstæðrar skrár með nöfnum, kennitölum og heimilisföngum,

b. með afhendingu grunnskrár þjóðskrár eða

c. með samkeyrslu bannskrár við fyrirhugaðar útsendingarskrár.

6. gr.

Í samningum sem Hagstofa Íslands, þjóðskrá, gerir við fyrirtæki um afnot af nafnaskrá þjóðskrár til vinnslu úrtaksgagna og til póstdreifingar skal kveðið skýrt á um skyldur varðandi meðferð nafna á bannskrá sem hér segir:

a. Skylt er að fella niður við áritanir og útskriftir öll nöfn sem eru á bannskrá og eru sérstaklega merkt í nafnaskránni. Jafnframt er skylt að verða tafarlaust við öllum beiðnum um að nöfn séu afmáð af útsendingarskrám.

b. Rita skal á áberandi stað á umslög, dreifibréf, happdrættismiða, gíróseðla eða annan póst, sem dreift verður samkvæmt skránni, að þessum pósti sé dreift eftir skrá í vörslu hlutaðeigandi og að þeir sem kynnu að óska eftir því að losna undan slíkum sendingum framvegis, geti tilkynnt þjóðskrá þá ósk sína og fengið nöfn sín skráð á bannskrá.

c. Skylt er að uppfæra nafnaskrána eigi sjaldnar en einu sinni í mánuði.

7. gr.

Reglur þessar eru settar samkvæmt 2. mgr. 28. gr. laga um persónuvernd og meðferð persónuupplýsinga nr. 77 23. maí 2000, sbr. 8. gr. laga nr. 90/2001.

8. gr.

Reglur þessar öðlast þegar gildi.

 

Reykjavík, 5. janúar 2005.

Davíð Oddsson.

Hallgrímur Snorrason.

Reglugerð nr. 322/2001 um meðferð persónuupplýsinga hjá lögreglu með áorðnum breytingum, sbr. rg. 926/2004, 362/2008 og 1137/2008.

1. gr.

Gildissvið.

Reglugerð þessi gildir um rafræna vinnslu persónuupplýsinga hjá lögreglu. Reglugerðin gildir eingöngu um vinnslu persónuupplýsinga í þágu lögreglustarfa skv. 1. gr. lögreglulaga.

2. gr.

Skrár lögreglu.

Ríkislögreglustjóri heldur eftirfarandi skrár:

1.  Málaskrá um kærur sem berast lögreglu um afbrot þar sem eftirfarandi upplýsingar verða skráðar:

a.  nöfn málsaðila og annarra sem málið varðar, ásamt kennitölu, lögheimili og dvalar· stað,

b.  vettvangur brots eða atburðar,

c.  brotaflokkur eða flokkur viðfangsefnis,

d.  ökutæki og aðrir munir sem tengjast máli,

e. fíkniefni sem tengjast máli,

f.  listi yfir skýrslur máls,

g. upplýsingar um rannsóknarferil máls.

2.  Dagbók lögreglu um erindi sem henni berast þar sem eftirfarandi upplýsingar verða skráðar:

a.  nöfn tilkynnanda og annarra sem málið varða, ásamt kennitölu, lögheimili og dvalarstað,

b.  vettvangur brots eða atburðar,

c.  brotaflokkur eða flokkur viðfangsefnis,

d.  ökutæki og aðrir munir sem tengjast máli,

e.  hvaða lögreglumenn voru á vettvangi,

f.  hver skráir skýrslu vegna atburðar,

g.  lögreglutæki á vettvangi,

h.  upplýsingar um úrlausn máls.

3.  Skrá yfir handtekna menn þar sem eftirfarandi upplýsingar verða skráðar:

a.  nafn handtekins manns, kennitala, lögheimili og dvalarstaður,

b. brot sem er tilefni handtöku,

c. vettvangur handtöku og tímasetning,

d. upplýsingar um tilkynningar til aðstandenda og annarra yfirvalda,

e. hver annast handtöku, skráir skýrslu og ákveður vistun,

f.  ástand manns við handtöku,

g.  aðrar upplýsingar um handtöku, aðbúnað handtekins manns og meðferð máls meðan á handtöku stendur.

[4.  Gagnagrunn þar sem skráðar eru upplýsingar um einstaklinga, hópa, félög, fyrirtæki eða annað sem tengist eftirfarandi brotaflokkum:

a.  fíkniefnum

b.  barnaklámi

c.  peningaþvætti

d.  hryðjuverkum

e.  fjármögnun skipulagðrar brotastarfsemi

f.  ólögmætum flutningi fólks

5. Aðrar skrár sem nauðsynlegar eru í þágu lögreglustarfa til að afstýra yfirvofandi hættu eða sporna við afbrotum.

Ríkislögreglustjóri getur veitt einstökum lögreglustjórum heimild til að halda skrár um ákveðin atriði ef það þykir nauðsynlegt vegna tiltekinna lögreglustarfa.]1

1) Reglugerð nr. 926/2004, 1. gr.

 

3. gr.

Tilkynning um vinnslu persónuupplýsinga til Persónuverndar.

Ríkislögreglustjóri skal tilkynna Persónuvernd um þær skrár sem hann heldur og um þær skrár sem hann hefur heimilað lögreglustjórum að halda skv. 2. mgr. 2. gr.

Í tilkynningu skal tilgreina eftirfarandi atriði:

1.         eðli skrár

2.         tilgang skrár

3.         hvaða upplýsingar er að finna í skrá

4.         hverjir hafi aðgang að skrá eða einstökum hlutum hennar

5.         til hverra upplýsingum úr skrá er miðlað.

Auk þeirra atriða sem greinir í 2. mgr. skal í tilkynningu vegna skrár skv. 2. mgr. 2. gr. tilgreina hver annist og beri ábyrgð á vinnslu skrár.

Nú verður breyting á skrá eða nýtingu hennar og skal þá ríkislögreglustjóri tilkynna Persónuvernd um þær breytingar.

Áður en tekin er í notkun ný aðferð við rafræna vinnslu persónuupplýsinga skal lögregla leita álits Persónuverndar á því hvort sú vinnsla sé í samræmi við lög og reglur um persónu· vernd og friðhelgi einkalífs og eftir atvikum hvort grípa þurfi til sérstakra ráðstafana til að tryggja lögmæti vinnslunnar.

[Ef ætla má að opinber birting á tilkynningu um skrá til Persónuverndar stefni í hættu þeim löggæsluhagsmunum sem skránni er ætlað að þjóna, getur Persónuvernd, í kjölfar kröfu þess efnis frá ríkislögreglustjóra, ákveðið að tilkynningin skuli ekki birt opinberlega.]2

 2) Reglugerð nr. 926/2004, 2. gr.

4. gr.

Öryggi og innra eftirlit.

Ríkislögreglustjóri og lögreglustjóri í hverju umdæmi bera ábyrgð á öryggi við vinnslu persónuupplýsinga og að meðferð þeirra samrýmist reglum og stöðlum sem Persónuvernd setur um hvernig tryggja skuli öryggi upplýsinga. Til að fullnægja þessu skal reglulega framkvæma öryggismat og gerðar kerfisbundnar öryggisráðstafanir.

Ríkislögreglustjóri og lögreglustjórar skulu viðhafa og skipuleggja viðvarandi innra eftirlit með vinnslu persónuupplýsinga. Eftirlitið skal miða að því að tryggja áreiðanleika upplýsinga og að koma í veg fyrir aðgang, breytingu eða miðlun upplýsinga án heimildar. 

Tilkynna skal Persónuvernd reglulega um þær ráðstafanir sem gripið er til samkvæmt þessari grein.

 

5. gr.

Vinnsla persónuupplýsinga.

Vinnsla persónuupplýsinga skal takmörkuð við upplýsingar sem eru nauðsynlegar vegna lögreglustarfa. Eftir því sem frekast er unnt skal vinnsla persónuupplýsinga bundin við sannreyndar upplýsingar.

Persónuupplýsingar sem aflað er vegna lögreglustarfa má ekki nýta í öðrum tilgangi, sbr. þó 6. gr.

Að svo miklu leyti sem unnt er skulu mismunandi tegundir varðveittra persónu· upplýs· inga aðgreindar í samræmi við nákvæmni þeirra og áreiðanleika. Upplýsingum um stað· reyndir skal halda aðgreindum frá gögnum byggðum á áliti eða mati. Einnig skal upplýsingum vegna stjórnsýslu haldið aðgreindum frá upplýsingum vegna lögreglustarfa.

 

6. gr.

Miðlun persónuupplýsinga.

Persónuupplýsingum skal miðlað innan lögreglu að því marki sem nauðsynlegt er vegna lögreglustarfa. Einnig skal ákæruvaldið og Fangelsismálastofnun ríkisins hafa aðgang að persónuupplýsingum að því marki sem nauðsynlegt er til að sinna lögboðnum verkefnum.

Persónuupplýsingum verður aðeins miðlað til annarra stjórnvalda en getur í 1. mgr. eða til einkaaðila í eftirfarandi tilvikum:

1.    [vegna umsókna um störf á sviði löggæslu, tollgæslu eða landhelgisgæslu, enda sé viðkomandi starf þess eðlis að það varði þjóðaröryggi eða landvarnir, auk þess sem hinn skráði hafi veitt upplýst samþykki sitt og fengið í hendur afrit af hinum miðluðu upplýsingum eða]3

2.    samkvæmt lagaheimild eða

3.    samkvæmt heimild Persónuverndar eða

4.    ef miðlun upplýsinga er nauðsynleg til að koma í veg fyrir alvarlega og aðsteðjandi hættu [eða

5.    ef viðkomandi er tryggingafélag sem hefur með höndum uppgjör vegna tjóns og upplýsingarnar eru málefnalegar og nauðsynlegar til að ljúka uppgjörinu.]4.

[6.   Ríkislögreglustjóra er heimilt að miðla upplýsingum til tryggingafélags um punktastöðu vátryggingataka úr ökuferilsskrá, enda liggi fyrir upplýst samþykki vátryggingataka.]5

Persónuupplýsingum verður aðeins miðlað til erlendra lögregluyfirvalda í eftirfarandi tilvikum:

1.    samkvæmt lagaheimild eða

2.    samkvæmt þjóðréttarlegri skuldbindingu eða

3.    ef miðlun upplýsinga er nauðsynleg til að koma í veg fyrir alvarlega og aðsteðjandi hættu eða sporna við alvarlegum afbrotum, enda veiti það ríki sem upplýsingar eru sendar til fullnægjandi persónuupplýsingavernd.

Eftir því sem unnt er skal sannreyna áreiðanleika persónuupplýsinga áður en þeim er miðlað. Ef upplýsingar eru ónákvæmar eða úreltar skal þeim ekki miðlað. Nú hefur slíkum upplýsingum verið miðlað og skal lögregla þá eftir því sem frekast er unnt hindra að það hafi áhrif á hagsmuni hins skráða.

 3) Reglugerð nr. 362/2008, 1. gr.

 4) Reglugerð nr. 362/2008, 1. gr.

 5) Reglugerð nr. 1137/2008, 1. gr.

7. gr.

Notkun persónuupplýsinga sem hefur verið miðlað.

Persónuupplýsingar sem lögregla hefur miðlað má ekki nýta í öðrum tilgangi en þeim sem lýst var í beiðni um upplýsingar. Notkun upplýsinga í öðru skyni er háð samþykki viðkomandi lögregluyfirvalds.

 

8. gr.

Upplýsingaréttur hins skráða.

Hinn skráði á rétt á að fá frá lögreglu vitneskju um:

1.         hvaða upplýsingar um hann er eða hefur verið unnið með;

2.         tilgang vinnslunnar;

3.         hver fær, hefur fengið eða mun fá upplýsingar um hann.

Lögregla skal veita vitneskju skriflega ef þess er óskað. Afgreiða skal erindi skv. 1. mgr. svo fljótt sem verða má og eigi síðar en innan eins mánaðar frá móttöku þess.

 

9. gr.

Takmörkun á upplýsingarétti.

Réttur hins skráða til að fá vitneskju skv. 8. gr. er ekki fyrir hendi ef óhjákvæmilegt er að upplýsingar fari leynt vegna lögreglustarfa eða ef það er nauðsynlegt til að vernda hinn skráða sjálfan eða réttindi eða frelsi annarra.

Takmörkun á upplýsingarétti hins skráða skal rökstudd að því marki sem það er unnt án þess að greint verði frá nokkru sem leynt á að fara.

 

10. gr.

Tilkynningarskylda um söfnun persónuupplýsinga.

Nú er persónuupplýsingum safnað og þær varðveittar án vitneskju hins skráða og skal þá eftir því sem unnt er tilkynna viðkomandi um vinnslu upplýsinga, enda verði slík til· kynn· ing ekki talin geta hindrað lögreglustörf. Þetta gildir ekki ef upplýsingum hefur verið eytt.

 

11. gr.

Rafræn vöktun.

Þegar löggæsla fer fram með rafrænni vöktun á almannafæri skal með merki eða á annan áberandi hátt gera glögglega viðvart um þá vöktun.

 

12. gr.

Leiðrétting eða eyðing rangra og villandi persónuupplýsinga.

Ef skráðar hafa verið persónuupplýsingar sem eru rangar, villandi eða ófullkomnar, eða persónuupplýsingar hafa verið skráðar án tilskilinnar heimildar, skal lögregla sjá til þess að upplýsingar verði leiðréttar, þeim eytt eða við þær aukið ef umræddur annmarki getur haft áhrif á hagsmuni hins skráða.

 

13. gr.

Aðgangur að persónuupplýsingum og eyðing þeirra.

Aðgangur lögreglumanna að persónuupplýsingum skal ekki vera rýmri en nauðsynlegt er með hliðsjón af þeim verkefnum sem þeir hafa með höndum.

Nú eru skráðar persónuupplýsingar ekki lengur nauðsynlegar í þágu lögreglustarfa vegna aldurs upplýsinga eða af öðrum ástæðum og skal þeim þá eytt. Ef óheimilt er að eyða upplýsingum skal ríkislögreglustjóri grípa til sérstakra ráðstafana til að takmarka aðgang að slíkum upplýsingum og getur hann eftir atvikum bannað notkun þeirra.

Ríkislögreglustjóri skal tilkynna Persónuvernd um ákvarðanir sem teknar hafa verið samkvæmt þessari grein.

 

14. gr.

Gildistaka o.fl.

Reglugerð þessi, sem sett er skv. 3. mgr. 19. gr. laga um meðferð opinberra mála nr. 19 26. mars 1991, i-lið 1. mgr. 5. gr. lögreglulaga nr. 90 13. júní 1996, sbr. lög nr. 15 14. apríl 2000, og 3. mgr. 45. gr. laga um persónuvernd og meðferð persónuupplýsinga nr. 77 23. maí 2000, öðlast þegar gildi.

Jafnframt fellur úr gildi reglugerð um meðferð persónuupplýsinga hjá lögreglu, nr. 794 25. október 2000.

 

Dóms- og kirkjumálaráðuneytinu, 9. apríl 2001.

 

Sólveig Pétursdóttir.

Björn Friðfinnsson.

Reglur nr. 299/2001 um öryggi persónuupplýsinga

I KAFLI

Markmið og gildissvið

1. gr.

Markmið

Markmið reglna þessara er að tryggja öryggi við vinnslu persónuupplýsinga. Í því felst að tryggja eðlilega leynd upplýsinganna, lögmætan aðgang að þeim, gæði þeirra og áreiðanleika.Að öðru leyti en kemur fram í reglum þessum má til hliðsjónar og leiðbeiningar styðjast við staðalinn [ÍST ISO/IEC 27001 Upplýsingatækni – Öryggistækni – Stjórnkerfi upplýsinga – Kröfur.]1

1) Reglur nr. 551/2013, 1. gr.


2. gr.Gildissvið

Reglur þessar gilda um vinnslu persónuupplýsinga sem lög nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga, taka til.Persónuvernd getur veitt undanþágu frá fyrirmælum reglna þessara ef um er að ræða vinnslu persónuupplýsinga sem ekki telst hafa í för með sér hættu fyrir friðhelgi einkalífs, t.d. þegar litið er til umfangs vinnslunnar, áhættu af vinnslunni og eðlis þeirra gagna sem verja á.


II. KAFLI

Öryggiskerfi 

3. gr.

Ábyrgðaraðila ber að útbúa öryggiskerfi til að tryggja vernd persónuupplýsinga. Undirbúningur öryggiskerfis fer fram í þessum áföngum:1. Ábyrgðaraðili setur sér skriflega öryggisstefnu. Í henni skal m.a. koma fram almenn lýsing á afstöðu æðsta stjórnanda ábyrgðaraðila til öryggismála. Við mótun öryggisstefnu skal taka mið af því hvaða persónuupplýsingar skuli vernda, hvernig skuli vernda þær og þeirri aðferð sem viðhöfð verður við vinnslu þeirra.2. Ábyrgðaraðili gerir skriflegt áhættumat. Áhættumat er mat á hættunni á því að óviðkomandi fái aðgang að persónuupplýsingum, geti breytt upplýsingunum eða skert öryggi þeirra að öðru leyti. Áhættumat tekur einnig til athugunar á umfangi og afleiðingum hættunnar m.t.t. eðlis þeirra persónuupplýsinga sem unnið er með. Markmið áhættumats er að skapa forsendur fyrir vali á öryggisráðstöfunum, sbr. III. kafla reglna þessara. Þá skal tilgreina hvað geti farið úrskeiðis, hvaða áhrif slíkt geti haft á öryggi upplýsinganna og hvaða líkur séu á slíku. Áhættumat skal endurskoðað reglulega.3. Ábyrgðaraðili velur hvaða öryggisráðstafanir skulu viðhafðar í samræmi við III. kafla reglna þessara og setja fram skriflega lýsingu á þeim. Í lýsingunni skal m.a. koma fram afstaða ábyrgðaraðilans til þess hvað sé ásættanleg áhætta við vinnsluna. Þá skal rakið hvaða öryggisráðstöfunum verði beitt og hvernig þær verði útfærðar, þ.á m. við hönnun, þróun, rekstur, prófun og viðhald þess kerfis, þ.m.t. hugbúnaðar, sem notað verður við vinnslu upplýsinganna. Þar skal og tekið fram hvernig brugðist verði við áföllum í rekstri vinnslukerfisins, hvernig flutningi persónuupplýsinga milli vinnslukerfa verði hagað, þ. á m. mögulegum flutningi gagna milli ábyrgðar- og vinnsluaðila. Öryggisráðstafanir skal endurskoða reglulega.Persónuvernd skal hvenær sem hún óskar hafa aðgang að öryggisstefnu ábyrgðaraðila, áhættumati og lýsingu á viðkomandi öryggisráðstöfunum.


III. KAFLIÖryggisráðstafanir4. gr.Almennt

Ábyrgðaraðili skal gera viðeigandi öryggisráðstafanir og ber ábyrgð á því að vinnsla persónuupplýsinga séu í samræmi við lög, reglur og fyrirmæli Persónuverndar um hvernig tryggja skuli öryggi upplýsinga, þ.m.t. þá staðla sem hún ákveður. Markmið skipulags- og tæknilegra öryggisráðstafana er til að tryggja nægilegt öryggi og vernda persónuupplýsingar gegn ólöglegri eyðileggingu, gegn því að þær glatist eða breytist fyrir slysni, gegn óleyfilegum aðgangi og gegn allri annarri ólögmætri vinnslu.Við val öryggisráðstafana skal taka mið af áhættu af vinnslunni og eðli þeirra gagna sem verja á. Skulu þær tryggja nægilegt öryggi með hliðsjón af nýjustu tækni og kostnaði við framkvæmd þeirra. Sé persónuupplýsingum miðlað um Netið skal taka mið af þeirri auknu áhættu sem sú aðferð hefur í för með sér.


5. gr.Öryggisráðstafanir varðandi starfsmannamál

Í þeim tilgangi að fyrirbyggja og takmarka tjón af völdum mannlegra mistaka, þjófnaðar, svika og annarrar misnotkunar, skal ábyrgðaraðili grípa til þeirra öryggisráðstafana sem við eiga hverju sinni, t.d.:1. Kanna feril umsækjenda um störf.2. Fá skjalfestar þagnaryfirlýsingar starfsmanna.3. Skilgreina með skýrum hætti hlutverk og skyldur hvers starfsmanns sem hefur aðgang að persónuupplýsingum, þ.á m. hverjir beri ábyrgð á einstökum skráasöfnum.4. Gera nauðsynlegar ráðstafanir til þess að starfsmönnum sé með reglubundnum hætti gerð grein fyrir starfsskyldum sínum og þeim afleiðingum sem það getur haft í för með sér að brjóta þær.


6. gr.Ytra öryggi

Í þeim tilgangi að fyrirbyggja og takmarka tjón af völdum óheimils aðgangs, skal ábyrgðaraðili grípa til þeirra öryggisráðstafana sem við eiga hverju sinni, t.d.:1. Stýra aðgangi að húsnæði með úthlutun lykla, aðgangskorta o.þ.h.2. Viðhafa öryggisvörslu, t.d. með öryggisvörðum, viðvörunarkerfum eða rafrænni vöktun.


7. gr.Skipulagslegar og tæknilegar öryggisráðstafanir

Í þeim tilgangi að fyrirbyggja og takmarka tjón af völdum bilana og óheimils aðgangs að vinnslubúnaði, skal ábyrgðaraðili grípa til þeirra öryggisráðstafana sem við eiga hverju sinni, t.d.:1. Stýra aðgangi að búnaði með úthlutun aðgangs- og lykilorða.2. Dulkóða eða eyða persónuauðkennum, eða að setja númer í stað persónuauðkenna og varðveita greiningarlykil með tryggum hætti.3. Tryggja rekjanleika uppflettinga og vinnsluaðgerða.4. Varðveita persónuupplýsingar á ónettengdri tölvu.5. Takmarka aðgang að persónuupplýsingum við lesaðgang (uppflettiaðgang), svo sem í þeim tilgangi að hindra óheimila eyðingu, afritun eða samkeyrslu.6. Viðhafa sívirkar veiruvarnir.


IV. KAFLIInnra eftirlit8. gr.

Ábyrgðaraðili skal viðhafa innra eftirlit með vinnslu persónuupplýsinga til að ganga úr skugga um að unnið sé í samræmi við gildandi lög og reglur, þ. á m. þá skilmála sem Persónuvernd hefur sett um viðkomandi vinnslu.Innra eftirlit skal m.a. beinast að:1. Athugun á því hvort vinnslan sé heimil skv. lögum nr. 77/2000.2. Hvort fullnægt hafi verið tilkynningar- eða leyfisskyldu þeirri sem kveðið er á um í lögunum.3. Hvort uppfylltar séu reglur 7. gr. laganna um lögmæti vinnslu, þ. á m. ákvæði 5. tl. um eyðingu persónuupplýsinga sem ekki þarf að varðveita lengur, miðað við upphaflegan tilgang með söfnun þeirra.4. Hvort virt séu í framkvæmd ákvæði um rétt hins skráða samkvæmt lögunum.5. Hvort fylgt sé þeim öryggisráðstöfunum sem valdar hafa verið skv. c-lið 1. mgr. 3. gr. og III. kafla reglna þessara.6. Innra eftirlit skal viðhaft með reglubundnum hætti. Tíðni eftirlitsins og umfang þess skal ákveðið með hliðsjón af áhættunni sem er samfara vinnslunni, eðli þeirra gagna sem unnið er með, þeirri tækni sem notuð er til að tryggja öryggi upplýsinganna og kostnaði af eftirlitinu. Það skal þó eigi fara fram sjaldnar en árlega.Að jafnaði skal viðhafa innra eftirlit samkvæmt fyrirfram skilgreindu kerfi. Ábyrgðaraðili skal sjá til þess að gerð sé skýrsla um hverja aðgerð sem er liður í innra eftirliti. Í slíkri skýrslu skal lýsa niðurstöðu hvers þáttar eftirlitsins. Skýrslur um innra eftirlit skal varðveita tryggilega og hefur Persónuvernd rétt til aðgangs að þeim hvenær sem þess er óskað.


V. KAFLI

Vinnsluaðili

9. gr.

Ábyrgðaraðila er heimilt að semja við tiltekinn aðila um að annast, í heild eða að hluta til, þá vinnslu persónuupplýsinga sem hann ber ábyrgð á. Slíkt er þó háð því skilyrði að ábyrgðaraðili hafi áður sannreynt að umræddur vinnsluaðili geti viðhaft þær öryggisráðstafanir sem um vinnsluna gilda og framkvæmt innra eftirlit með vinnslunni.Samningur skv. 1. mgr. skal vera skriflegur og í að minnsta kosti tveimur eintökum. Þar skal m.a. koma fram að vinnsluaðili skuli starfa í samræmi við fyrirmæli ábyrgðaraðila og að ákvæði reglna þessara um skyldur ábyrgðaraðila gildi einnig um þá vinnslu sem vinnsluaðili framkvæmir. Ábyrgðaraðili og vinnsluaðili skulu hvor varðveita sitt eintak af samningnum.Hafi vinnsluaðili staðfestu í öðru EES ríki en ábyrgðaraðili, sbr. 1. mgr. 6. gr. laga nr. 77/2000, þá skal jafnframt geta þess í samningi að lög og reglur þess ríkis þar sem vinnsluaðili hefur staðfestu, gildi um öryggisráðstafanir við vinnslu persónuupplýsinga.Hverjum þeim er starfar í umboði ábyrgðaraðila eða vinnsluaðila er aðeins heimilt að vinna með persónuupplýsingar í samræmi við fyrirmæli ábyrgðaraðila, nema lög mæli fyrir á annan veg.


VI. KAFLIGildistaka o.fl.

10. gr.

Tilkynning til Persónuverndar um öryggisráðstafanir

Í tilkynningu til Persónuverndar skv. 31. gr. laga nr. 77/2000 skal koma fram með hvaða hætti ábyrgðaraðili fullnægir ákvæðum reglna þessara.

11. gr.Gildistaka

Reglur þessar, sem settar eru samkvæmt heimild í 11. og 12. gr. laga nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga, öðlast þegar gildi.


Persónuvernd, 20. mars 2001.

Páll Hreinsson stjórnarformaður.

Reglugerð nr. 246/2001 um söfnun og miðlun upplýsinga um fjárhagsmálefni og lánstraust.

I. KAFLIMarkmið, gildissvið og skilgreiningar.

1. gr.

Markmið og gildissvið.

Markmið reglugerðar þessarar er að tryggja öryggi, áreiðanleika og gæði vinnslu upplýsinga sem varða fjárhagsmálefni og lánstraust einstaklinga, fyrirtækja og annarra lögaðila. Reglugerðin tekur ekki til starfsemi sem felst í útgáfu skýrslna um lánshæfi.Reglugerðin á einvörðungu við um vinnslu í því skyni að miðla upplýsingum til annarra um fjárhagsmálefni og lánstraust. Ef ekki er stofnað til vinnslu í slíkum tilgangi fellur hún utan gildissviðs reglugerðar þessarar. Það á t.d. við um vinnslu sérhvers banka og sérhvers sparisjóðs á slíkum upplýsingum sem einvörðungu er til eigin nota.

II. KAFLISkyldur ábyrgðaraðila.2. gr.Skyldur fjárhagsupplýsingastofa.

Söfnun og skráning upplýsinga sem varða fjárhagsmálefni og lánstraust einstaklinga og lögaðila, í því skyni að miðla þeim til annarra, er óheimil án starfsleyfis sem Persónuvernd veitir. Þeim einum má veita slíkt starfsleyfi sem að mati Persónuverndar er líklegur til að geta fullnægt skyldum ábyrgðaraðila samkvæmt lögum um persónuvernd og meðferð persónuupplýsinga, þ. á m. samkvæmt reglum sem Persónuvernd hefur sett um trúnað, áreiðanleika, öryggi og innra eftirlit við vinnslu persónuupplýsinga. Er handhafi slíks leyfis í reglum þessum nefndur fjárhagsupplýsingastofa.Persónuvernd getur bundið slíkt starfsleyfi þeim skilmálum sem hún telur vera nauðsynlega hverju sinni. Skal hún þá m.a. taka mið af þeim atriðum er greinir í 35. gr. laga um persónuvernd og meðferð persónuupplýsinga. Ef sérstaklega stendur á að mati Persónuverndar, getur stofnunin vikið frá ákvæðum reglugerðarinnar við veitingu starfsleyfis.


3. gr.Persónuupplýsingar semfjárhagsupplýsingastofu er heimilt að vinna með.

Fjárhagsupplýsingastofu er einungis heimilt að vinna með upplýsingar sem eðli sínu samkvæmt hafa afgerandi þýðingu við mat á fjárhag og lánstrausti hins skráða. Aldrei er þó heimilt að vinna með viðkvæmar persónuupplýsingar, sbr. 8. tl. 2. gr. laga um persónuvernd og meðferð persónuupplýsinga.Fjárhagsupplýsingastofu er heimilt að vinna með upplýsingar um nafn manns eða lögaðila, heimilisfang, kennitölu, félagsform, stöðu og atvinnu eða aðrar upplýsingar sem hægt er að fá úr opinberum skrám. Upplýsingar um skuldastöðu aðila má ekki veita með þeim hætti að þær geti verið grundvöllur mats á fjárhagslegri stöðu annars en þess er upplýsingarnar varða beinlínis.Persónuvernd getur veitt fjárhagsupplýsingastofu sérstaka heimild til að safna og vinna með upplýsingar um önnur atriði en þau sem greind eru í 2. mgr.Upplýsingar um fjárhagsmálefni og lánstraust, sem eldri eru en fjögurra ára, er fjárhagsupplýsingastofu óheimilt að skrá eða miðla nema ótvírætt sé að viðkomandi upplýsingar hafi enn verulega þýðingu við mat á fjárhag eða lánstrausti hins skráða.

4. gr.Viðvörunar- og fræðsluskylda.

Þegar fjárhagsupplýsingastofa safnar fjárhagsupplýsingum frá öðrum en hinum skráða skal hún samtímis gera hinum skráða viðvart og skýra honum frá eftirtöldum atriðum:1. hvert sé nafn og heimilisfang fjárhagsupplýsingastofu;2. hver beri daglega ábyrgð á því að fullnægt sé skyldum ábyrgðaraðila samkvæmt lögum um persónuvernd og meðferð persónuupplýsinga og reglum sem settar hafa verið á grundvelli þeirra;3. hver sé tilgangur vinnslunnar;4. hvaða persónuupplýsingar um viðkomandi verði unnið með;5. hvaðan upplýsingar koma;6. hverjir verði viðtakendur upplýsinga, þar á meðal um hvort ætlunin sé að miðla upplýsingum um Netið eða flytja þær með öðrum hætti úr landi, hvernig og til hverra.Fjárhagsupplýsingastofu ber að senda viðvörun skv. 1. mgr. eigi síðar en 14 dögum áður en upplýsingunum er miðlað í fyrsta sinn. Slík skylda á ekki við ef ætla má að hinum skráða sé þegar kunnugt um vinnsluna, svo sem vegna þess að hann hafi fengið tilkynningu þegar nafn hans var í fyrsta sinn fært á umrædda skrá, enda hafi ekki lengri tími en eitt ár liðið frá síðustu skráningu. Persónuvernd getur mælt fyrir um víðtækari eða einfaldari viðvörunarskyldu.Ef upplýsingar um fjárhagsmálefni og lánstraust eru fengnar hjá hinum skráða skal fjárhagsupplýsingastofa fræða hann um hver sé ábyrgðaraðili, hvert sé markmið söfnunarinnar, hvernig auðkenningu upplýsinga verði hagað, hverjum upplýsingarnar verði afhentar, hvort honum sé skylt eða valfrjálst að veita umbeðnar upplýsingar og hvaða afleiðingar það kunni að hafa í för með sér geri hann það ekki. Fræðsluskyldan hvílir á forsvarsmanni viðkomandi fjárhagsupplýsingastofu, eða eftir atvikum starfsmanni hans eða vinnsluaðila, en fellur brott hafi hinn skráði þegar fengið vitneskju um þessi atriði.Frekari fræðslu skal veita ef það er nauðsynlegt til að tryggja að hinn skráði geti gætt hagsmuna sinna, t.d. fræða hann um upplýsingarétt sinn samkvæmt lögum um persónuvernd og meðferð persónuupplýsinga.

5. gr.Leiðrétting og eyðing persónuupplýsinga.

Hafi fjárhagsupplýsingastofa unnið með upplýsingar sem eru rangar, villandi eða ófullkomnar, eða hafi persónuupplýsingar verið skráðar án tilskilinnar heimildar, skal hún sjá til þess að upplýsingarnar verði leiðréttar, þeim eytt eða við þær aukið ef umræddur annmarki getur haft áhrif á hagsmuni hins skráða. Hafi slíkum upplýsingum verið miðlað eða þær notaðar ber ábyrgðaraðila, eftir því sem honum er frekast unnt, að hindra að það hafi áhrif á hagsmuni hins skráða.Ef eyðing eða breyting þeirra upplýsinga sem um ræðir í 1. mgr. er óheimil samkvæmt ákvæðum annarra laga getur Persónuvernd bannað notkun upplýsinganna.Eyða skal jafnharðan úr skrám fjárhagsupplýsingastofu upplýsingum sem eru eldri en fjögurra ára, nema annað sé sérstaklega heimilað í starfsleyfi frá Persónuvernd.Um eyðingu og bann við notkun persónuupplýsinga sem hvorki eru rangar né villandi fer samkvæmt 26. gr. laga um persónuvernd og meðferð persónuupplýsinga.

6. gr.Hvernig má miðla upplýsingum.

Upplýsingar um fjárhag og atriði er varða mat á lánstrausti má láta öðrum í té skriflega eða með netlínutengingu við áskrifendur, sem gerir þeim kleift að fletta upp einstökum aðilum (einum í einu). Skal þess gætt að viðhafa nauðsynlegar öryggisráðstafanir til að fyrirbyggja að áskrifendur geti afritað skrána, samtengt hana við aðrar skrár eða unnið með hana á annan hátt en til uppflettingar. Að öðru leyti skal Persónuvernd tilgreina nánar í starfsleyfi með hvaða aðferð hlutaðeigandi fjárhagsupplýsingastofu er heimilt að láta frá sér upplýsingar.Upplýsingar um nafn og heimilisfang fyrirspyrjanda skal ávallt skrá, svo og hverjum fyrirspyrjandi hefur flett upp. Varðveita skal gögn um þetta í a.m.k. 2 ár.Óheimilt er að miðla upplýsingum um nafn aðila ef fjárhagsupplýsingastofu er kunnugt um að sú krafa, er liggur skráningu til grundvallar, hafi verið greidd eða henni komið í skil með öðrum hætti. Á þetta við hvort heldur um er að ræða almennt aðgengilegar upplýsingar eða ekki. Sýni skráður aðili fjárhagsupplýsingastofu fram á að umrædd krafa hafi verið að fullu greidd, eða henni komið í skil með öðrum hætti, ber fjárhagsupplýsingastofu að stöðva alla frekari miðlun umræddra upplýsinga. Þetta gildir þó ekki um skráðar upplýsingar um gjaldþrotaúrskurði og skiptalok.

III. KAFLIRéttur hins skráða.7. gr.Upplýsingaréttur hins skráða

Nú telur aðili að unnið sé með fjárhagsupplýsingar um hann og er fjárhagsupplýsingastofu þá skylt að skýra honum frá því, óski hann þess. Skal það gert sem fyrst og eigi síðar en innan tveggja vikna frá því að ósk kom fram. Skal í svari fjárhagsupplýsingastofunnar greint frá þeim upplýsingum sem hún hefur unnið með og látið frá sér fara á síðustu tveimur árum um hagi beiðanda.Samkvæmt 1. mgr. á hinn skráði m.a. rétt á að fá upplýsingar um:1. hvaða upplýsingar um hann er eða hefur verið unnið með;2. tilgang vinnslunnar;3. hver fær, hefur fengið eða getur fengið upplýsingar um hann;4. hvaðan upplýsingarnar hafa komið;5. hvaða öryggisráðstafanir eru og verði viðhafðar við vinnslu.Hafi fjárhagsupplýsingastofan í vörslum sínum frekari upplýsingar um hinn skráða en þær sem beiðnin lýtur að er fjárhagsupplýsingastofu skylt að gera beiðanda grein fyrir þeim og jafnframt fyrir rétti hans til að kynna sér efni gagna af eigin raun.Hinn skráði getur gert kröfu um að fá svör skv. 1.–3. mgr. frá ábyrgðaraðila, eða eftir atvikum fulltrúa hans, ef það á við, skriflega.

 8. gr.Andmælaréttur hins skráða.

Þegar hinum skráða berst frá fjárhagsupplýsingastofu viðvörun skv. 4. gr. er honum heimilt að andmæla vinnslu slíkra upplýsinga um sjálfan sig, ef hann hefur til þess lögmætar og knýjandi ástæður. Beri aðili fram slík andmæli, og eigi þau rétt á sér, er fjárhagsupplýsingastofu óheimilt að miðla upplýsingunum. Berist fjárhagsupplýsingastofu slík beiðni en telji hana ekki eiga rétt á sér skal hún greina frá niðurstöðu sinni með skriflegum hætti, eigi síðar en innan 14 daga frá því beiðnin barst henni. Í synjun skal leiðbeina hinum skráða um rétt hans til að kæra synjunina til Persónuverndar innan þriggja mánaða.

IV. KAFLIGildistaka o.fl.9. gr.

Reglugerð þessi, sem sett er samkvæmt heimild í 2. mgr. 45. gr. laga um persónuvernd og meðferð persónuupplýsinga, nr. 77 23. maí 2000, öðlast þegar gildi.

Dóms- og kirkjumálaráðuneytinu, 13. mars 2001.

Sólveig Pétursdóttir.
________________Björn Friðfinnsson.

Reglur nr. 170/2001; Upplýst samþykki í vísindarannsókn á heilbrigðissviði - Reglur um það hvernig afla skal upplýsts samþykkis fyrir vinnslu persónuupplýsinga í vísindarannsókn á heilbrigðissviði.

I. KAFLIGildissvið og markmið1. gr.Gildissvið

Þegar ákveðið er í lögum, reglugerð eða leyfi Persónuverndar að vinnsla persónuupplýsinga vegna vísindarannsóknar á heilbrigðissviði sé háð upplýstu samþykki hinna skráðu skal farið að fyrirmælum þessara reglna þegar samþykkis þeirra er aflað. Reglur þessar ákvarða ekki hvenær vinnsla persónuupplýsinga við vísindarannsókn á heilbrigðissviði skal grundvölluð á upplýstu samþykki þátttakenda.

2. gr.Markmið reglnanna

Markmið þessara reglna er að tryggja að fylgt sé vandaðri málsmeðferð sem stuðlar að því að vernda friðhelgi einkalífs og virða sjálfsákvörðunarrétt manna þegar aflað er upplýsts samþykkis fyrir vinnslu persónuupplýsinga í vísindarannsóknum á heilbrigðissviði.

II. KAFLIVísindarannsókn framkvæmd með þátttöku einstaklinga sem valdir hafa veriðmeð úrtaki úr Þjóðskrá eða með auglýsingum.3. gr.Markhópur rannsóknar tekinn úr Þjóðskrá.

1. Þegar þátttakendur í vísindarannsókn hafa verið valdir úr Þjóðskrá, s.s. með slembiúrtaki, skal ábyrgðarmaður rannsóknar kanna vilja þeirra bréflega. Skal í bréfinu veita þær upplýsingar sem um getur í 9. gr. og útskýra á hvaða forsendum gerð úrtaksins hafi byggst. Þegar a.m.k. ein vika er liðin frá því að bréf var fyrst sent út má fylgja því eftir með einu ítrekunarbréfi eða einu ítrekunarsímtali, en aðeins þó til þeirra sem ekki hafa svarað en ekki þeirra sem hafa neitað þátttöku. [Þegar a.m.k. tvær vikur eru liðnar frá slíkri ítrekun má enn fylgja málinu eftir með einu bréfi eða einu símtali. Þetta á aðeins við um þá sem aldrei hafa svarað en ekki um þá sem þegar hafa neitað þátttöku ( Reglur nr. 157/2003)]2. Bjóða skal einstaklingum í markhópnum, sem áhuga hafa á þátttöku í vísindarannsókninni eða vilja vita meira um hana, að hafa samband við ábyrgðarmann rannsóknar eða nafngreindan heilbrigðisstarfsmann sem starfar á ábyrgð hans.3. Þegar gögn eru send einstaklingum í markhópi er óheimilt að merkja umslag þannig að það sé tengt viðfangsefni rannsóknarinnar eða með öðrum þeim hætti sem getur valdið misskilningi um heilsufar viðtakanda bréfsins.

4. gr.Auglýst eftir þátttakendum í vísindarannsókn

Þegar þátttakenda í vísindarannsókn er aflað með auglýsingum í fjölmiðlum eða dreifibréfum félaga og samtaka skal bjóða þeim sem áhuga hafa á þátttöku í vísindarannsókninni, eða vilja vita meira um hana, að hafa samband við ábyrgðarmann rannsóknar eða nafngreinda heilbrigðisstarfsmenn sem starfa á ábyrgð hans. Í auglýsingu eða dreifibréfi skal að lágmarki veita upplýsingar skv. 1. mgr. 8. gr.

III. KAFLIVísindarannsókn framkvæmd með þátttöku sjúklinga
5. gr.Markhópur rannsóknar fundinn með samkeyrslu heilsufarsupplýsinga.

1. Óheimilt er að velja sjúklinga í markhóp rannsóknar með samkeyrslu heilsufarsupplýsinga, nema samkeyrslan uppfylli skilyrði laga nr. 77/2000 og reglna nr. 90/2001.2. Ábyrgðarmaður rannsóknar skal hafa samband við lækni hvers sjúklings í markhópnum og óska þess að læknirinn bjóði sjúklingnum þátttöku í vísindarannsókninni í samræmi við ákvæði 6.-8. gr. reglna þessara.3. Ábyrgðarmanni rannsóknar er óheimilt að bjóða manni frekari fræðslu um vísindarannsókn og þátttöku í henni nema læknir hlutaðeigandi sjúklings staðfesti að hann hafi áhuga á að taka þátt í vísindarannsókninni eða vita meira um hana.

6. gr.Hver má kanna vilja sjúklings til þátttöku í vísindarannsókn?

1. Sá læknir sem haft hefur mann til meðferðar vegna sjúkdóms sem vísindarannsóknin varðar skal fyrst hafa samband við sjúklinginn og kanna vilja hans til þátttöku í vísindarannsókn.2. Hafi maður verið til meðferðar á heilsugæslustöð eða á sjúkrahúsi skal yfirlæknir á deild eða ódeildarskiptri heilbrigðisstofnun hafa samband við sjúklinginn. Ef óþekkt er á hvaða deild sjúkrahúss maður var til meðferðar þegar lífssýni var tekið, sem snertir sjúkdóm, skal yfirlæknir stofnunar eða formaður læknaráðs hafa samband við sjúklinginn.3. Ef sjálfstætt starfandi læknir er hættur störfum og sjúkraskrár hans hafa verið afhentar landlækni í samræmi við 2. mgr. 12. gr. reglugerðar nr. 227/1991 um sjúkraskrár og skýrslugerð varðandi heilbrigðismál, skal landlæknir hafa samband við hlutaðeigandi og kanna vilja hans til þátttöku í vísindarannsókninni.4. Ef sú heilbrigðisstofnun er óþekkt, þar sem maður var til meðferðar þegar lífssýni var tekið sem snertir sjúkdóm, ber ábyrgðarmanni rannsóknar að hafa samband við sjúklinginn.5. Lækni eða ábyrgðaraðila, skv. 1. - 4. tl. þessarar greinar, er heimilt að fela heilbrigðisstarfsmanni sem starfar á hans ábyrgð að kanna, fyrir sína hönd, vilja sjúklings til þátttöku.6. Neiti læknir, skv. 1. - 4. tl. þessarar greinar, að kanna vilja sjúklings til þátttöku í vísindarannsókn getur Persónuvernd veitt ábyrgðarmanni rannsóknarinnar heimild til þess að annast það sjálfur.7. Ákvæði reglna þessara um hlutverk læknis sjúklings gilda eftir því sem við getur átt um hjúkrunarfræðinga, sjúkraþjálfara og aðra heilbrigðisstarfsmenn, sem eru ábyrgðaraðilar vinnslu í skilningi 4. tl. 1. mgr. 2. gr. laga nr. 77/2000.

7. gr.Hvernig má kanna vilja sjúklinga til þátttöku í vísindarannsókn?

1. Kanna má vilja sjúklinga til þátttöku í tiltekinni vísindarannsókn munnlega eða skriflega. Sé það gert skriflega skal upplýst hvert þeir sem vilja fá nánari upplýsingar geti snúið sér. Heimilt er að fylgja bréfinu eftir annað hvort með einu öðru bréfi eða með einu símtali, í því skyni að kanna vilja þeirra sjúklinga hans sem ekki hafa svarað fyrra bréfinu.2. Þegar bréf er sent sjúklingi skal ekki merkja umslag þannig að viðfangsefni rannsóknarinnar komi fram né skal merkja það þannig að fram komi upplýsingar um heilsufar, eiginleika eða aðstöðu viðtakanda bréfsins.3. Þegar vilji manns er kannaður til þátttöku í vísindarannsókn skal gæta nærfærni. Óheimilt er að beita sjúkling beinum eða óbeinum þrýstingi til þess að fá hann til að taka þátt í vísindarannsókn.4. Hafi sjúklingur ekki áhuga á að taka þátt í tiltekinni vísindarannsókn er óheimilt að hafa oftar samband við hann og ganga á eftir því að hann taki þátt í rannsókninni.

8. gr.Fræðsluskylda þegar vilji sjúklings til þátttöku í rannsókn er kannaður.

1. Þegar læknir kannar vilja sjúklings til þátttöku í tiltekinni vísindarannsókn, sbr. 7. gr., ber honum að upplýsa sjúklinginn að lágmarki um eftirtalin atriði:a. Hver sé ábyrgðarmaður rannsóknar.b. Hver sé tilgangur rannsóknarinnar og möguleg gagnsemi.c. Hver sé möguleg áhætta þátttakenda í rannsókninni og í hverju þátttakan sé fólgin.d. Að sjúklingi sé hvenær sem er frjálst að hafna þátttöku í rannsókninni og þurfi ekki að veita sérstaka ástæðu fyrir því.

IV. KAFLIUpplýst samþykki9. gr.Fræðsluskylda áður en upplýsts samþykkis er aflað.

Áður en farið er þess á leit við einstakling að hann lýsi því yfir að hann samþykki vinnslu persónuupplýsinga um sig við framkvæmd vísindarannsóknar skulu honum skriflega veittar eftirfarandi upplýsingar. Þessar upplýsingar skulu útskýrðar nánar munnlega miðað við þarfir væntanlegs þátttakanda:a. Nafn, stöðuheiti og heimilisfang ábyrgðarmanns rannsóknar og eftir atvikum fulltrúa hans, sem hefur staðfestu hér á landi.b. Hver beri daglega ábyrgð á að uppfylla skyldur ábyrgðarmanns.c. Hver sé tilgangur rannsóknar, hvernig framkvæmd hennar verði háttað í grófum dráttum, hver sé möguleg gagnsemi hennar, hvenær rannsókn byrji og hvenær áætlað sé að henni ljúki.d. Hver sé vinnsluaðili rannsóknar, hverjir séu að öðru leyti í samstarfi við ábyrgðarmann um rannsóknina og hverjum upplýsingar verði afhentar.e. Hver sé möguleg áhætta þátttakanda í rannsókninni og í hverju þátttakan sé fólgin.f. Hvaða tegundir upplýsinga verða notaðar við rannsóknina, þ.m.t. hvort notað verður erfðaefni eða upplýsinga úr sjúkraskrá látinna skyldmenna þátttakanda.g. Hvert upplýsingar eru sóttar, þ.m.t. upplýsingar um ættartengsl.h. Hvaða öryggisráðstafanir verði viðhafðar í vinnslunni.i. Hvort og hvenær persónuupplýsingum eða persónuauðkennum verði eytt.j. Hvaða heimild vísindarannsóknin og söfnun upplýsinganna er byggð á.k. Hvort ráðgert sé að flytja persónuupplýsingar úr landi og/eða birta upplýsingar á Netinu.l. Um að einstaklingi sé heimilt að afturkalla samþykki og hver réttaráhrif það hafi, þ. á m. hvaða afleiðingar afturköllun hafi fyrir þátttakanda í rannsókninni varðandi upplýsingar sem þegar hefur verið safnað og unnar í rannsókninni um hann.


10. gr.Hæfi manna til að binda sig með samþykki

1. Sá einn getur veitt samþykki til vinnslu persónuupplýsinga um sig í vísindarannsókn sem er sjálfráða og nægilega heill heilsu til þess að gera sér grein fyrir þýðingu og afleiðingum slíks samþykkis.2. Ef vafi leikur á um það hvort maður sé nægilega heill heilsu til þess að gera sér grein fyrir þýðingu og afleiðingum samþykkis til vinnslu persónuupplýsinga í vísindarannsókn, sker læknir hans úr.3. Lögráðamaður sjálfræðissvipts manns ákveður hvort samþykki verði veitt til að vinna persónuupplýsingar um skjólstæðing hans í vísindarannsókn. Lögráðamaður skal hafa samráð við hinn ólögráða eftir því sem tök eru á.4. Persónuupplýsingar um mann verða ekki unnar á grundvelli upplýsts samþykkis nema hann sé nægilega heill heilsu til þess að gera sér grein fyrir þýðingu og afleiðingum slíks samþykkis og hafi ekki verið sviptur sjálfræði og fengið skipaðan lögráðamann.5. Forsjármenn barns geta samþykkt vinnslu persónuupplýsinga um barn í vísindarannsókn. Forsjármenn skulu hafa samráð við barn og taka tillit til viðhorfa þess allt eftir þroska þess og aldri.6. Þegar 3. og 5. mgr. þessarar greinar eiga við skal veita forsjármönnum eða lögráðamanni þær upplýsingar sem um getur í 8. og 9. gr.

 11. gr.Samþykki til vinnslu persónuupplýsinga

1. Eftir að maður hefur verið upplýstur um þau atriði sem fram koma í 9. gr. er heimilt að fá hjá honum upplýst samþykki til vinnslu persónuupplýsinga um hann í vísindarannsókn.2. Með upplýstu samþykki er átt við sérstaka ótvíræða skriflega yfirlýsingu sem einstaklingur gefur af fúsum og frjálsum vilja um að hann sé samþykkur því að tilteknar persónuupplýsingar um hann verði unnar með tilteknum hætti í tilgreindri vísindarannsókn, sem hann hefur verið upplýstur um í samræmi við ákvæði 9. gr.3. Þær skriflegu upplýsingar sem veittar eru um vísindarannsókn og telja ber þátttakanda upplýstan um skulu annað hvort undirritaðar sérstaklega eða vera áfastar hinni undirrituðu samþykkisyfirlýsingu hans.4. Sá sem veitt hefur þátttakanda í vísindarannsókn upplýsingar skv. 9. gr. skal með dagsettri undirskrift sinni votta skriflega á samþykkisyfirlýsingunni að það hafi verið gert og að þátttakandinn hafi látið þá skoðun í ljós að hann hafi fengið fullnægjandi upplýsingar. Jafnframt skal ábyrgðarmaður undirrita samþykkisyfirlýsinguna.

 12. gr.Afturköllun samþykkis

Í texta samþykkisyfirlýsingar skal koma ótvírætt fram að manni sé hvenær sem er heimilt að afturkalla samþykki fyrir vinnslu persónuupplýsinga um sig í vísindarannsókn eftir að hún er byrjuð og að ekki þurfi að veita sérstaka ástæðu fyrir því. Jafnframt skal greina honum frá því hvaða afleiðingar slík afturköllun hefur varðandi upplýsingar sem þegar hefur verið safnað og unnar í rannsókninni um hann.Eyðublöð fyrir afturköllun samþykkis skulu liggja frammi hjá ábyrgðarmanni og þeim sem ber daglega ábyrgð á að uppfylla skyldur hans. Sá sem tekur við skjalinu skal með dagsettri undirskrift sinni á skjalið votta móttöku þess. Afhenda skal þátttakanda afrit eða ljósrit af skjalinu.

V. KAFLIÞátttaka ættingja sjúklings í vísindarannsókn
13. gr.

Hyggist ábyrgðarmaður rannsóknar leita eftir þátttöku ættingja sjúkings skal þess gætt að rjúfa ekki þagnarskyldu um heilsufar sjúklings. Óheimilt er að veita ættingjunum upplýsingar um heilsufar sjúklingsins nema með samþykki sjúklingsins.Viðhafa ber, eftir því sem við á, þær aðferðir sem koma fram í 14., 15. eða 16. gr.

 14. gr.Sjúklingur kannar sjálfur vilja ættingja sinna til þátttöku í rannsókn

1. Heimilt er að óska eftir því við sjúkling sjálfan að hann hafi samband við ættingja sína og kanni hvort þeir hafi áhuga á að taka þátt í vísindarannsókninni. Gæta ber nærgætni þegar slíkt erindi er borið fram við sjúkling. Fallist hann á erindið ber að veita honum skrifleg gögn er hafa að geyma upplýsingar um rannsóknina skv. 9. gr. sem hann getur látið ættingjum sínum í té.2. Í hinum skriflegu gögnum um vísindarannsóknina skal bjóða þeim ættingjum sjúklingsins, sem áhuga hafa á þátttöku í vísindarannsókninni að hafa samband við ábyrgðarmann rannsóknar eða nafngreindan heilbrigðisstarfsmann, sem starfar á hans ábyrgð. Heimilt er að hafa samband við þá ættingja sem sjúklingur segir að hafi áhuga á að taka þátt í vísindarannsókninni eða vilji vita meira um hana, enda þótt þeir hafi ekki sjálfir haft samband við ábyrgðarmann rannsóknar.

 15. gr.Sjúklingur samþykkir að gera megi ættingjum grein fyrirtegund eða heiti sjúkdóms sem hann er haldinn.

Fá skal upplýst skriflegt samþykki hjá sjúklingi fyrir því að hafa megi samband við ættingja hans og gera þeim grein fyrir tegund eða heiti þess sjúkdóms sem sjúklingurinn er haldinn og bjóða þeim síðan þátttöku í vísindarannsókninni á grundvelli upplýsts samþykkis.

 16. gr.Markhópur fundinn með ættrakningu frá látnum einstaklingum.

1. Þegar markhópur er valinn með ættrakningu frá látnum einstaklingum sem opinberar skrár greina að hafi verið haldnir þeim sjúkdómi sem ætlunin er að rannsaka, en ekki með notkun heilsufarsupplýsinga um þá sem einstaklinga sem verður boðin þátttaka, skal ábyrgðarmaður rannsóknar kanna þátttökuvilja þeirra bréflega. Í bréfinu skal veita þær upplýsingar sem greinir í 9. gr. og útskýra hvaða aðferð var viðhöfð við val markhópsins.2. Að öðru leyti skal fylgt ákvæðum 2. og 3. mgr. 3. gr.

17. gr.Gildistaka.

Reglur þessar, sem settar eru samkvæmt heimild í [4. mgr. 9. gr.]1, 31., 32. og 33. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga, öðlast þegar gildi.Við gildistöku reglnanna verður eftirfarandi breyting á reglum nr. 90/2001 um tilkynningarskylda og leyfisskylda vinnslu persónuupplýsinga: Við 3. mgr. 7. gr. bætist nýr svohljóðandi málsliður: "Þá er vinnsla samkvæmt 1., 3. eða 5. tl. 1. mgr. ekki leyfisskyld byggi hún á skriflegu upplýstu samþykki hins skráða"
1) Reglur nr. 853/2010, 1. gr.

Persónuvernd, 19. október 2010

Aðalsteinn Jónasson stjórnarformaður*Breytt með reglum nr. 853/2010.
_____________________Sigrún Jóhannesdóttir

Reglugerð nr. 134/2001 um vörslu og nýtingu lífsýna í lífsýnasöfnum

I. KAFLIGildissvið og skilgreiningar.1. gr.2. gr.ling.ustu

Gildissvið.

Reglugerð þessi tekur til söfnunar lífsýna, vörslu, meðferðar, nýtingar og vistunar þeirra í lífsýnasöfnum.

Skilgreiningar.

Í reglugerð þessari hafa eftirfarandi orð svofellda merkingu:

1.    Lífsýni: Lífrænt efni úr mönnum, lifandi eða látnum, sem veitt  getur um þá

       líffræðilegar upplýsingar.

2. Lífsýnasafn:  Safn lífsýna sem geymd eru til frambúðar.

3. Vísindarannsókn:  Rannsókn sem ætlað er að auka þekkingu, m.a. til að bæta heilsu og lækna sjúkdóma.

4. Þjónusturannsókn:  Rannsókn sem framkvæmd er vegna heilbrigðisþjónustu við einstak­

5.    Upplýst, óþvingað samþykki:  Samþykki sem veitt er skriflega og af fúsum og frjálsum vilja eftir að lífsýnisgjafi hefur verið upplýstur um markmið með töku sýnisins, gagnsemi þess, áhættu samfara tökunni og að lífsýnið verði varðveitt til frambúðar í lífsýnasafni til notkunar skv. 9. gr. laga nr. 110/2000 um lífsýnasöfn.

6.    Ætlað samþykki:  Samþykki sem felst í því að lífsýnisgjafi hefur ekki lýst sig mótfallinn því að lífsýni sem tekið er úr honum við þjónusturannsókn verði varðveitt til frambúðar í lífsýnasafni til notkunar skv. 9. gr. laga nr. 110/2000 um lífsýnasöfn, enda hafi skriflegar upplýsingar um að slíkt kynni að verða gert verið aðgengilegar.

7. Lífsýnisgjafi:  Einstaklingur sem lífsýni er úr.

8.    Leyfishafi: Einstaklingur eða lögaðili sem fengið hefur leyfi ráðherra til starfrækslu lífsýnasafns skv. 4. gr. laga nr. 110/2000 um lífsýnasöfn.

9.    Tímabundin varsla lífsýna:  Varsla lífsýna í allt að fimm ár, sem safnað er vegna þjón­­rannsókna, meðferðar eða afmarkaðra vísindarannsókna nema vísindasiðanefnd veiti heimild til framlengingar um tiltekinn tíma.

 

II. KAFLIStofnun og starfræksla lífsýnasafna.3. gr.

Stofnun og starfræksla.

Stofnun og starfræksla lífsýnasafns er einungis heimil þeim sem fengið hefur til þess leyfi ráðherra samkvæmt lögum um lífsýnasöfn nr. 110/2000. Leyfi til stofnunar og starf­rækslu lífsýnasafna er háð því að uppfyllt séu skilyrði 5. og 6. gr. laga um lífsýnasöfn nr. 110/2000.

Meirihluti stjórnar lífsýnasafns, sbr. 6. gr. laga nr. 110/2000 um lífsýnasöfn, skal hafa sérþekkingu á fagsviði lífsýnasafnsins.

Aðstaða til vörslu lífsýnasafns skal vera í samræmi við leiðbeiningar landlæknis.

 

III. KAFLIFræðsluskylda.4. gr.

Lífsýni sem aflað er til varðveislu í lífsýnasafni vegna vísindarannsókna.

Áður en lífsýnis er aflað á grundvelli upplýsts samþykkis skv. 1. mgr. 6. gr. skal veita lífsýnisgjafa upplýsingar um:

a.   nafn og aðsetur ábyrgðarmanns lífsýnasafns,

b. markmið lífsýnistöku og gagnsemi hennar,

c.   hvers konar lífsýni er tekið,

d.   áhættu samfara tökunni,

e.   að lífsýni verði varðveitt í lífsýnasafni til notkunar skv. 9. gr. laga nr. 110/2000 um lífsýnasöfn og skal lífsýnisgjafa gerð grein fyrir efni hennar,

f. öryggisráðstafanir við söfnun og geymslu lífsýnanna og hvernig persónuupplýsingar þeim tengdar verða auðkenndar,

g.   hverjum lífsýni verði afhent,

h.   að honum sé valfrjálst að veita heimild til varðveislu lífsýnis í lífsýnasöfnum og að höfnun þess að veita slíka heimild hafi engin áhrif á réttarstöðu hans.

Starfsreglur lífsýnasafnsins skulu vera lífsýnisgjafa aðgengilegar.

Lífsýnisgjafa skal gerð grein fyrir því að hann geti hvenær sem er afturkallað samþykki sitt fyrir því að afla megi lífsýnis og/eða að lífsýni verði varðveitt í lífsýnasafni. Þá skal lífsýnisgjafa gerð grein fyrir því að hann geti hvenær sem er hætt þátttöku í vísindarannsókn.  Jafnframt skal honum gerð grein fyrir því hvað í því felst, sbr. 7. gr. reglugerðar þessarar.

 

5. gr.

Lífsýni sem aflað er vegna þjónusturannsókna.

Landlæknir skal kynna fyrir almenningi ákvæði laga nr. 110/2000 um lífsýnasöfn, um ætlað samþykki skv. 6. tölul. 2. gr. og afturköllun þess skv. 4. mgr. 7. gr. áðurnefndra laga.  Hann skal jafnframt veita fræðslu um tilkynningar til úrsagnarskrár skv. 10. gr., annast gerð upplýsingaefnis og eyðublaða fyrir slíkar tilkynningar og sjá til þess að þau liggi frammi á heilbrigðisstofnunum, hjá sjálfstætt starfandi heilbrigðisstarfsmönnum og annars staðar þar sem lífsýni eru tekin. 

Áður en lífsýnis er aflað vegna þjónusturannsókna eða meðferðar skal heilbrigðis­starfsfólk vekja athygli lífsýnisgjafa eða lögráðamanns á upplýsingum frá landlækni, sbr. 1. mgr.  Sé lífsýnisgjafi tímabundið ófær um að taka við upplýsingum skal veita honum upplýsingar þegar hann verður fær um að tileinka sér þær, annars skulu þær veittar nánasta aðstandanda.

 

IV. KAFLISamþykki lífsýnisgjafa og afturköllun þess.6. gr.

Upplýst samþykki vegna vörslu lífsýna í lífsýnasafni og vegna vísindarannsókna.

Leitað skal eftir upplýstu óþvinguðu samþykki þess sem lífsýnið gefur, sbr. 5. tölul. 2. gr., við öflun lífsýnis til vörslu í lífsýnasafni vegna tiltekinnar vísindarannsóknar og/eða síðari vísindarannsókna sem gerðar eru í samræmi við markmið söfnunarinnar.

Ekki má gera vísindarannsókn á lífsýnum sem safnað hefur verið til vörslu í lífsýnasafni, nema rannsóknin hafi áður hlotið samþykki vísindasiðanefndar og að uppfylltum ákvæðum laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga.

 

7. gr.

Afturköllun upplýsts samþykkis.

Lífsýnisgjafi getur hvenær sem er afturkallað samþykki sitt fyrir varðveislu lífsýnis í lífsýnasafni og/eða þátttöku í vísindarannsókn.  Skal hann tilkynna ábyrgðarmanni rannsóknar eða söfnunar um ákvörðun sína.  Ábyrgðarmaður skal afhenda lífsýnisgjafa staðfestingu á aftur­köllun. Ábyrgðarmaður rannsóknar eða söfnunar skal tilkynna vísindasiðanefnd og Persónu­vernd um afturköllunina.  Þegar lífsýnisgjafi hefur afturkallað samþykki sitt skv. 1. mgr. 7. gr. laga nr. 110/2000 um lífsýnasöfn, skal lífsýninu eytt.

Við afturköllun upplýsts samþykkis skal lífsýni eytt; þ.e. vefjasýnum, blóðsýnum, frum­um og einangruðu erfðaefni (DNA/RNA) og er óheimilt að framkvæma frekari rannsóknir á lífsýninu, hvort heldur er upprunalegu lífsýni eða einangruðum þáttum þess, frumum eða erfðaefni.

Niðurstöðum rannsókna sem þegar hafa verið framkvæmdar og byggja á notkun lífsýnis þess sem afturkallar samþykki sitt, skal hins vegar ekki eytt, en þær skulu varðveittar á ópersónugreinanlegu formi þannig að ekki sé unnt að rekja niðurstöðurnar til lífsýnisgjafans. Niðurstöður rannsókna teljast hvers kyns niðurstöður; skrifaður texti, tölugildi, kvarðar, gröf og myndir. Einnig niðurstöður sem hafa að geyma sameindir eða sameindabúta (þ.m.t. úr kjarnsýrum eða próteinum) á formi banda eða bletta í hlaupi, á himnum eða glerjum. Notkun þeirra til frekari rannsókna er óheimil. 

Afurðum rannsókna sem eiga uppruna sinn í lífsýni, svo sem vefjaræktunum, frumu­línum, einangruðum genum eða einangruðum sameindum, upprunalegum eða breyttum skal ekki eytt, en öll persónuauðkenni skulu afmáð þannig að ekki sé hægt að rekja uppruna þeirra til lífsýnisgjafans.

Um öryggi persónuupplýsinga fer skv. reglum sem Persónuvernd setur, sbr. einkum 8. tölul. 5. gr. og 2. mgr. 12. gr. laga nr. 110/2000 um lífsýnasöfn.

 

8. gr.

Sýni vegna þjónusturannsókna, ætlað samþykki fyrir vistun í lífsýnasafni.

Hafi lífsýnum verið safnað vegna þjónusturannsókna eða meðferðar má ganga út frá ætluðu samþykki lífsýnisgjafa, sbr. 6. tölul. 2. gr., fyrir því að lífsýni verði vistað í lífsýna­safni, enda sé þess getið í skriflegum upplýsingum sem aðgengilegar eru lífsýnisgjafa þar sem sýni er tekið, sbr. 2. mgr. 5. gr. reglugerðar þessarar.

Heimilt er að vista lífsýni úr látnum einstaklingi í lífsýnasafni, enda hafi hann ekki fyrir andlátið afturkallað ætlað samþykki sitt.  Að öðru leyti gilda ákvæði laga nr. 110/2000 um lífsýnasöfn, um lífsýni úr látnum einstaklingum.

Eftirlifandi ættingjar hafa ekki umráðarétt yfir lífsýnum látinna.  Varði notkun sýna mikilvæga hagsmuni eftirlifandi ættingja getur vísindasiðanefnd ákveðið að þeir skuli upp­lýstir og afstaða þeirra könnuð.

 

9. gr.

Afturköllun ætlaðs samþykkis.

Lífsýnisgjafi getur hvenær sem er afturkallað ætlað samþykki sitt fyrir því að lífsýni hans verði vistuð í lífsýnasafni til notkunar skv. 9. gr. laga nr. 110/2000 um lífsýnasöfn, hvort heldur öll lífsýni eða tiltekin lífsýni, eða til allra rannsókna eða tiltekinna rannsókna. Skylt er að verða við slíkri beiðni.

Við afturköllun ætlaðs samþykkis skal lífsýni ekki eytt, en það varðveitt til notkunar í þágu lífsýnisgjafa.  Þegar aðgangur er veittur samkvæmt framangreindu skal það skráð.  Önnur notkun er háð sérstakri heimild lífsýnisgjafa, sbr. þó 4. mgr.

Lífsýnisgjafi skal tilkynna landlækni um ósk sína.  Landlæknir skal annast gerð eyðu­blaða fyrir slíkar tilkynningar og sjá til þess að þau liggi frammi á heilbrigðisstofnunum, hjá sjálfstætt starfandi heilbrigðisstarfsmönnum og annars staðar þar sem lífsýni eru tekin.

Um öryggi þessara upplýsinga fer skv. reglum sem Persónuvernd setur, sbr. 8. tölul. 1. mgr. 5. gr. laga nr. 110/2000 um lífsýnasöfn.

Safnstjórn getur í undantekningartilvikum, að fengnu leyfi Persónuverndar og vísinda­siðanefndar, heimilað notkun lífsýna í öðrum tilgangi en ætlað var þegar þau voru tekin, enda mæli brýnir hagsmunir með því og ávinningurinn vegi þyngra en hugsanlegt óhagræði fyrir lífsýnisgjafann eða aðra aðila.

 

V. KAFLIÚrsagnaskrá.10. gr.

Úrsagnaskrá og fyrirkomulag hennar.

Landlæknir skal sjá til þess að óskir lífsýnisgjafa um afturköllun samþykkis séu virtar.  Hann skal halda dulkóðaða úrsagnaskrá yfir lífsýnisgjafa og skal hún ávallt vera aðgengileg stjórnum lífsýnasafna.  Í skránni skulu aðeins vera þær upplýsingar sem nauðsynlegar eru vegna starfsemi safnsins og til að tryggja að óskir lífsýnisgjafa séu virtar.

Þegar leitað er eftir aðgangi að lífsýnasafni vegna vísindarannsókna skal ábyrgðarmaður lífsýnasafns afla upplýsinga um úrsagnir hjá landlækni áður en aðgangur að lífsýnum í safn­inu er heimilaður.

Þeir starfsmenn landlæknis sem starfa við framangreint eru bundnir þagnarskyldu um atriði sem þeir komast að við störf sín og leynt skulu fara samkvæmt lögum eða eðli máls. Skulu þeir undirrita þagnarheit áður en þeir taka til starfa. Þagnarskylda helst þótt látið sé af starfi.

 

VI. KAFLIAðgangur að lífsýnasafni vegna vísindarannsókna.11. gr.

Skyldur safnstjórnar.

Við veitingu aðgangs að lífsýnasafni skal safnstjórn gæta þess að aðgangur til vísinda­rannsókna skerði ekki möguleika til frekari greiningar sjúkdóma í þágu lífsýnisgjafa.

Áður en aðgangur að lífsýnasafni er veittur, skv. 9. gr. laga nr. 110/2000 um lífsýnasöfn, skal liggja fyrir rannsóknaráætlun samþykkt af vísindasiðanefnd eða siðanefnd viðkomandi heilbrigðisstofnunar, sbr. reglugerð nr. 552/1999 um vísindarannsóknir á heilbrigðissviði. Sé um að ræða erfðarannsókn skal að jafnaði leitað upplýsts samþykkis viðkomandi sé hann á lífi og ávallt ef unnt er að rekja upplýsingar til tiltekins einstaklings og skal það háð mati vísinda­siðanefndar og Persónuverndar.  Uppfylltar skulu kröfur Persónuverndar samkvæmt lögum um persónuvernd og meðferð persónuupplýsinga.

Í lífsýnasöfnum sem orðið hafa til á heilbrigðisstofnunum hins opinbera eða stofnunum sem kostaðar eru af almannafé skal safnstjórn við gerð samnings við vísindamenn gæta sam­ræmis og jafnræðis við veitingu aðgangs að lífsýnasafni.  Aðgangur að lífsýnasafni skal byggjast á faglegum og vísindalegum forsendum að teknu tilliti til hagsmuna lífsýnisgjafa.

Safnstjórn skal rökstyðja höfnun á beiðni um aðgang.

Heimilt er að senda lífsýni úr landi í þágu lífsýnisgjafa, vegna sjúkdómsgreiningar eða gæðaeftirlits.  Annar flutningur lífsýna úr landi er háður samþykki vísindasiðanefndar og Persónuverndar og með þeim skilyrðum sem þær setja. Sýni skulu að jafnaði send án persónu­auðkenna.  Ábyrgðarmaður rannsóknarinnar er ábyrgur fyrir að engar persónugreinanlegar upplýsingar fylgi sýnunum og að leifar sýnanna séu sendar til baka að rannsókn lokinni.

Safnstjórn er óheimilt að flytja lífsýni í annað lífsýnasafn nema að fengnu leyfi vísinda­siðanefndar og Persónuverndar og með þeim skilyrðum sem þær setja.

Safnstjórn er heimilt að varðveita í lífsýnasafni sérsöfn lífsýna sem safnað hefur verið vegna tiltekinna vísindarannsókna og fer um aðgang að þeim samkvæmt samningi við ábyrgðarmann rannsóknar að fengnu leyfi vísindasiðanefndar og Persónuverndar og með þeim skilyrðum sem þær setja.

 

VII. KAFLIRekstur lífsýnasafna.12. gr.

Upplýsingaskylda.

Lífsýnasöfn skulu veita þeim sem þess óska staðlaðar upplýsingar um eftirfarandi atriði:

1.    nafn og heimilisfang stjórnarmanna safnstjórnar og ábyrgðarmanns lífsýnasafns,

2.    hver ber daglega ábyrgð á lífsýnasafninu,

3.    markmið með starfrækslu lífsýnasafnsins,

4.    tegund þeirra lífsýna sem unnið er með,

5.    frá hvaða aðilum lífsýnin berast,

6.    hverjum veittur er aðgangur að lífsýnunum og hvort til greina komi að flytja lífsýnin úr landi,

7.    hvar hægt sé að fá aðgang að starfsreglum lífsýnasafnsins.

 

13. gr.
Opinber skrá um starfandi lífsýnasöfn.

Landlæknir skal halda skrá yfir þau lífsýnasöfn sem fengið hafa leyfi heilbrigðisráðherra til starfrækslu. Þar skulu að lágmarki koma fram þau atriði sem talin eru upp í 12. gr.  Skráin skal vera aðgengileg almenningi á heimasíðu landlæknis.

 

14. gr.Upplýsingaréttur lífsýnisgjafa.

Að ósk lífsýnisgjafa er landlækni eða safnstjórn skylt að veita lífsýnisgjafa upplýsingar um eftirtalin atriði varðandi lífsýni úr honum:

1.    hvort lífsýni úr honum eru geymd í lífsýnasafni og hvers konar lífsýni það eru,

2.    í hvaða tilgangi lífsýni var tekið,

3.    hver hefur fengið eða getur fengið aðgang að lífsýninu,

4.    á hvaða forsendum slíkur aðgangur sé veittur,

5.    hvaða öryggisráðstafanir eru viðhafðar við söfnun og geymslu lífsýnanna.

 

VIII. KAFLI15. gr.Ýmis ákvæði.

Breytingar á reglugerð þessari skulu gerðar í samráði við vísindasiðanefnd, Persónu­vernd og landlækni.

 

16. gr.

Gildistaka.

Reglugerð þessi er sett með stoð í 9. og 16. gr. laga nr. 110/2000 um lífsýnasöfn og öðlast þegar gildi.

 

Heilbrigðis- og tryggingamálaráðuneytinu, 6. febrúar 2001.

 

Ingibjörg Pálmadóttir.

Davíð Á. Gunnarsson.

Reglugerð nr. 112/2001 um Schengen-upplýsingakerfið á Íslandi

1. gr.

Ríkislögreglustjóri veitir starfsmönnum lögreglu og Útlendingaeftirlitsins heimild til að starfa við Schengen-upplýsingakerfið.Til að fá leyfi skv. 1. mgr. þarf starfsmaður að fullnægja þeim hæfis- og öryggiskröfum sem ríkislögreglustjóri ákveður og kynnir æðstu stjórnendum lögreglu og Útlendinga-eftirlitsins.Nú fullnægir starfsmaður ekki lengur settum hæfis- eða öryggisreglum og skal ríkis-lögreglustjóri þá fella heimild hans úr gildi.

2. gr.

Við starfrækslu Schengen-upplýsingakerfisins skal ríkislögreglustjóri, sá sem á hans vegum annast tölvuþjónustu og þau stjórnvöld sem hafa aðgang að upplýsingum úr upplýs-ingakerfinu grípa til nauðsynlegra ráðstafana til að tryggja að:

a. aðgangur að upplýsingum úr kerfinu sé ekki rýmri en nauðsynlegt er fyrir stjórnvald til að sinna þeim verkefnum sem það hefur með hendi,b. upplýsingar úr kerfinu séu eingöngu nýttar til að sinna þeim verkefnum stjórnvalda sem tilgreind eru í 10. og 11. gr. laga um Schengen-upplýsingakerfið á Íslandi,c. einungis starfsmenn með heimild skv. 1. gr. starfi við kerfið,d. aðgangur starfsmanns að skráðum upplýsingum sé ekki rýmri en nauðsynlegt er til að hann geti sinnt þeim verkefnum sem hann hefur með höndum,e. upplýsingar um öryggisatriði varðandi kerfið berist ekki til óviðkomandi,f. gæsla og umbúnaður alls tækjabúnaðar sem notaður er við starfrækslu kerfisins sé öruggur og að óviðkomandi geti ekki fengið aðgang að þeim búnaði,g. óviðkomandi fái ekki aðgang að upplýsingum sem skráðar eru í kerfið,h. óviðkomandi geti ekki haft áhrif á skráningu í kerfið,i. kerfið starfi greiðlega og sé aðgengilegt þeim sem við það starfa.

3. gr.

Ríkislögreglustjóri skal skipuleggja innra eftirlit með Schengen-upplýsingakerfinu. Innra eftirlitið skal vera viðvarandi og kerfisbundið og miða að því að tryggja að:

a. einungis þeir starfsmenn starfi við kerfið sem hafa heimild skv. 1. gr.,b. þekking starfsmanna sem starfa við kerfið á þeim reglum sem um það gilda á hverjum tíma sé fullnægjandi,c. einungis séu skráðar upplýsingar í kerfið í samræmi við 4.–8. gr. laga um Schengen-upplýsingakerfið á Íslandi,d. miðlun upplýsinga úr kerfinu og eftirfarandi vinnsla þeirra sé í samræmi við lög.

Ríkislögreglustjóri getur falið þeim stjórnvöldum sem hafa aðgang að upplýsingum úr upplýsingakerfinu ákveðna þætti innra eftirlits með kerfinu. Einnig getur hann krafið þau um upplýsingar og gögn sem eru nauðsynleg til að sinna eftirliti með kerfinu.Ríkislögreglustjóri skal árlega taka saman skýrslu um innra eftirlit með upplýsinga-kerfinu og skila til Persónuverndar eigi síðar en 1. apríl.

4. gr.

Ríkislögreglustjóri skal gera skriflega áætlun um öryggisatriði við vinnslu upplýsinga í Schengen-upplýsingakerfinu. Sú áætlun skal taka til þess sem á hans vegum annast tölvu-þjónustu og þeirra stjórnvalda sem hafa aðgang að upplýsingum úr upplýsingakerfinu.Áætlun skv. 1. mgr. skal meðal annars miða að því að tryggja að óviðkomandi fái ekki aðgang að upplýsingakerfinu eða geti haft áhrif á skráningu í það. Einnig skal áætlun miða að því að tryggja að kerfið starfi greiðlega og sé aðgengilegt þeim sem við það starfa.Eftir þörfum skal ríkislögreglustjóri endurskoða áætlun skv. 1. mgr. og ekki skal líða lengri tími milli endurskoðunar hennar en þrjú ár. Endurskoðun skal meðal annars taka mið af þeirri reynslu sem fæst á hverjum tíma við rekstur upplýsingakerfisins og mati á þeim atriðum sem fela í sér hættu fyrir öryggi kerfisins.Ríkislögreglustjóri skal senda Persónuvernd áætlun skv. 1. mgr. og tilkynna stofnuninni um endurskoðun hennar skv. 2. mgr.

 

5. gr.

Ríkislögreglustjóri ber ábyrgð á því að fylgt sé skriflegri áætlun skv. 4. gr. Þeir sem á vegum ríkislögreglustjóra veita tölvuþjónustu við upplýsingakerfið bera ábyrgð á því gagnvart honum að þeirri áætlun sé fylgt. Sama gildir um stjórnvöld sem eru beinlínutengd við upp-lýsingakerfið skv. 10. gr. laga um Schengen-upplýsingakerfið á Íslandi og stjórnvöld sem hafa aðgang að upplýsingum úr kerfinu skv. a- og b-lið 11. gr. sömu laga.


6. gr.

Við allar breytingar á starfrækslu Schengen-upplýsingakerfisins sem geta haft áhrif á öryggi þess skal ríkislögreglustjóri láta fara fram áhættumat. Eftir því sem við á skal á grundvelli áhættumats endurskoða áætlun skv. 4. gr.


7. gr.

Ríkislögreglustjóri skal gera skriflega skýrslu um hverja einstaka skráningu í upplýsinga-kerfið. Einnig skal ríkislögreglustjóri gera skriflega skýrslu um hvert tilvik þegar stjórn-völdum er veittur aðgangur að upplýsingum úr upplýsingakerfinu skv. 11. gr. laga um Schengen-upplýsingakerfið á Íslandi.Aðgangur að upplýsingakerfinu með beinlínutengingu skal skráður í hverju tilviki fyrir sig. Einnig skal skrá allar einstakar aðgerðir í kerfinu sem miða að því að öðlast slíkan aðgang að kerfinu.[Varðveita skal upplýsingar samkvæmt 2. mgr. eigi skemur en eitt ár en þrjú ár hið mesta.]1)

1) Reglugerð nr. 640/2007, 1. gr.


8. gr.

Nú verða mistök við starfrækslu Schengen-upplýsingakerfisins og skal ríkislögreglustjóri þá rannsaka málið og taka saman skýrslu. Eftir því sem tilefni er til skulu gerðar viðeigandi úrbætur við starfrækslu kerfisins.Ef óviðkomandi hefur fengið aðgang að upplýsingakerfinu eða grunur leikur á slíku skal ríkislögreglustjóri gera Persónuvernd viðvart.

[Nú leiðir eftirlit Persónuverndar samkvæmt 18. gr. laga um Schengen-upplýsingakerfið á Íslandi í ljós að skráning og meðferð persónuupplýsinga í upplýsingakerfinu er ekki í samræmi við þau lög eða reglur sem gilda um persónuvernd og friðhelgi einkalífs eða að öryggi upplýsingakerfisins er ekki nægilega tryggt gegn því að óviðkomandi fái aðgang að því eða geti haft áhrif á skráningu í það og skal þá Ríkislögreglustjóri gera viðeigandi úrbætur að fengnum tillögum Persónuverndar.]1)

1) Reglugerð nr. 640/2007, 2. gr.


9. gr.

Reglugerð þessi, sem sett er samkvæmt heimild í 19. gr. laga um Schengen-upplýsinga-kerfið á Íslandi, nr. 16 14. apríl 2000, sbr. lög nr. 77 23. maí 2000, öðlast þegar gildi.

 

Dóms- og kirkjumálaráðuneytinu, 1. febrúar 2001.
Sólveig Pétursdóttir. Björn Friðfinnsson.




Var efnið hjálplegt? Nei