Reglur nr. 811/2019 um leyfisskylda vinnslu persónuupplýsinga

I. KAFLI

Almenn ákvæði.

1. gr.

Gildissvið.

Reglur þessar gilda um leyfisskyldu vegna vinnslu persónuupplýsinga og um undanþágur frá þeirri skyldu.

2. gr.

Orðskýringar.

Í reglum þessum er merking hugtaka sem hér segir:

  1. Almennar persónuupplýsingar: Persónuupplýsingar sem ekki teljast viðkvæmar í skilningi 3. tölul. 1. mgr. 3. gr. laga um persónuvernd og vinnslu persónuupplýsinga, nr. 90/2018.
  2. Dulkóðun: Umbreyting orða eða talna í leynilegan kóða sem dylur merkingu þeirra.
  3. Miðlæg skrá: Skipulegt safn persónuupplýsinga um alla einstaklinga hér á landi sem er aðgengilegt samkvæmt tilteknum viðmiðum, óháð búsetu.

Hugtök sem skilgreind eru í 1. mgr. 3. gr. laga nr. 90/2018 og 4. gr. reglugerðar (ESB) 2016/679 hafa sömu merkingu í reglum þessum.

3. gr.

Ábyrgð ábyrgðaraðila.

Sé vinnsla persónuupplýsinga háð leyfi frá Persónuvernd, skv. ákvæðum laga eða reglna þessara, ber ábyrgðaraðili vinnslu ábyrgð á því að sækja um slíkt leyfi og haga vinnslunni ávallt í samræmi við útgefið leyfi og ákvæði laga nr. 90/2018 og reglugerðar (ESB) 2016/679.

Eftirlit Persónuverndar haggar í engu ábyrgð ábyrgðaraðila á vinnslu persónuupplýsinga, sbr. 2. mgr. 8. gr. laga nr. 90/2018.

II. KAFLI

Leyfisskyld vinnsla persónuupplýsinga.

4. gr.

Eftirfarandi vinnsla persónuupplýsinga er háð skriflegu leyfi Persónuverndar:

  1. Samkeyrsla skráar sem hefur að geyma viðkvæmar persónuupplýsingar við aðra skrá, hvort sem sú hefur að geyma almennar eða viðkvæmar persónuupplýsingar. Slík samkeyrsla er þó ekki leyfisskyld:

    a. ef einvörðungu er samkeyrt við upplýsingar um símanúmer eða upplýsingar úr þjóðskrá um nafn, kennitölu, fyrirtækjanúmer, heimilisfang, aðsetur og póstnúmer.
    b. ef samkeyrðar eru skrár sama ábyrgðaraðila, þó að undanskildum miðlægum skrám sem innihalda viðkvæmar persónuupplýsingar.

  2. Vinnsla upplýsinga um refsiverðan verknað manns og sakaferil, upplýsingar um lyfja-, áfengis- og vímuefnanotkun, kynlíf og kynhegðun, nema vinnslan sé nauðsynlegur og eðlilegur þáttur í starfsemi viðkomandi aðila.
  3. Söfnun persónuupplýsinga um fjárhagsmálefni, lánstraust og lánshæfi einstaklinga í þeim tilgangi að miðla þeim til annarra.
  4. Vinnsla upplýsinga um félagsleg vandamál manna eða önnur einkalífsatriði, svo sem hjóna· skilnaði, samvistaslit, ættleiðingar og fóstursamninga, nema vinnslan sé nauðsynlegur og eðli· legur þáttur í starfsemi viðkomandi aðila.
  5. Vinnsla persónuupplýsinga sem felur í sér að nafn manns er fært á skrá eftir fyrirfram ákveðnum viðmiðum og upplýsingunum miðlað til þriðja aðila í því skyni að neita manninum um tiltekna fyrirgreiðslu eða þjónustu.
  6. Miðlun viðkvæmra persónuupplýsinga í þágu vísindarannsóknar sem fellur utan gildissviðs laga um rannsóknir á heilbrigðissviði, nr. 44/2014, enda standi ábyrgðaraðili þeirra upplýsinga sem miðlað er ekki að framkvæmd rannsóknarinnar.
  7. Miðlun viðkvæmra persónuupplýsinga, sem varðveittar eru hjá stjórnvöldum, í þágu rann· sókna.
  8. Miðlun almennra persónuupplýsinga, sem varðveittar eru hjá stjórnvöldum, í þágu rann· sókna, þegar miðlunin felur í sér sérstaka hættu á að farið verði í bága við réttindi og frelsi skráðra einstaklinga.

Þrátt fyrir ákvæði 1. mgr. er vinnsla persónuupplýsinga ekki háð leyfi Persónuverndar byggi hún á samþykki eða fyrirmælum laga. Þá þarf ekki leyfi til vinnslu persónuupplýsinga sem fram fer í samræmi við hátternisreglur sem samþykktar hafa verið af Persónuvernd, sbr. 5. mgr. 40. gr. reglu­gerðar (ESB) 2016/679.

Persónuvernd getur ákveðið að leyfisskylda stjórnvalds samkvæmt 7. og 8. tölul. 1. mgr. falli brott þegar settar hafa verið almennar reglur og öryggisstaðlar sem fylgja skal við slíka miðlun.

Afhending lífsýnasafna á þjónustusýnum með persónuauðkennum í þágu vísindarannsókna er ávallt háð leyfi Persónuverndar, sbr. 5. mgr. 9. gr. laga um lífsýnasöfn og söfn heilbrigðisupplýsinga, nr. 110/2000.

III. KAFLI

Um miðlun persónuupplýsinga til þriðju landa eða alþjóðastofnana.

5. gr.

Í samræmi við 3. mgr. 46. gr. reglugerðar (ESB) 2016/679 er miðlun á persónuupplýsingum til þriðja lands eða alþjóðastofnunar, sem ekki veitir persónuupplýsingum fullnægjandi vernd, háð leyfi Persónuverndar þegar eitt af eftirtöldu á við:

  1. sendandi upplýsinganna gerir samning við viðtakanda til að tryggja vernd upplýsinganna en notast ekki við stöðluð ákvæði sem framkvæmdastjórn ESB hefur samþykkt eða sem Persónu­vernd hefur samþykkt og framkvæmdastjórnin vottað;
  2. sendandi og viðtakandi, sem báðir eru opinberir aðilar, samþykkja réttargerð sem ætlað er að veita persónuupplýsingum vernd en er ekki lagalega bindandi; eða
  3. ekki eru að öðru leyti gerðar ráðstafanir samkvæmt 2. mgr. 46. gr. reglugerðar (ESB) 2016/679.

IV. KAFLI

Önnur ákvæði.

6. gr.

Eftirlit.

Persónuvernd fer með eftirlit með framkvæmd reglna þessara. Um heimildir Persónuverndar fer samkvæmt ákvæðum laga nr. 90/2018 og reglugerðar (ESB) 2016/679.

7. gr.

Gildistaka o.fl.

Reglur þessar, sem settar eru samkvæmt 2. mgr. 31. gr. laga nr. 90/2018 og 3. mgr. 46. gr. reglu­gerðar (ESB) 2016/679, öðlast þegar gildi. Samhliða birtingu þeirra falla úr gildi reglur nr. 712/2008 um tilkynningarskylda og leyfisskylda vinnslu persónuupplýsinga.

Persónuvernd, 29. ágúst 2019.

Björg Thorarensen.

Helga Þórisdóttir.



Var efnið hjálplegt? Nei