Leiðbeiningar til skrárhaldara um afhendingu gagna
Þegar skrárhaldara persónuupplýsinga berst beiðni frá rannsakanda um aðgang að gögnum eða upplýsingum úr málaskrám skrárhaldara í þágu vísindarannsóknar þarf hann að huga að eftirfarandi atriðum:
- - Skrárhaldari þarf að taka sjálfstæða ákvörðun um hvort hann vilji veita aðgang að umbeðnum gögnum í þágu rannsóknarinnar og hvort hann telji sér það heimilt.
- - Skrárhaldari þarf einnig að meta hvort þær persónuupplýsingar sem rannsakandi óskar eftir aðgangi að séu í samræmi við tilgangrannsóknarinnar og hvort þær séu viðeigandi miðað við þann tilgang.
- - Sérstaklega þarf að meta hvort óskað sé eftir aðgangi að ítarlegri upplýsingum en þörf er á miðað við tilgang rannsóknarinnar en ekki skal vinna með persónuupplýsingar umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar
- - Skrárhaldari þarf einnig að meta hvort hann sé reiðubúinn að gerast ábyrgðaraðili
að afhendingu upplýsinganna sem óskað er eftir aðgangi að. Ber þá skrárhaldari m.a. ábyrgð á eftirfarandi atriðum:
- Að tryggja að rannsakandi fái einungis aðgang að þeim upplýsingum sem skrárhaldari hefur heimilað aðgang að og að hann fái ekki meiri aðgang að persónugreinanlegum upplýsingum en heimildin nær til og nauðsyn krefur. Nægir honum t.d. að vinna með viðkomandi persónuupplýsingar í húsnæði skrárhaldara eða að fá einungis aðgang að upplýsingum þar sem persónuauðkenni hafa verið afmáð?
- Að gæta öryggis gagnanna við afhendingu þeirra í samræmi við reglur um öryggi persónuupplýsinga.
- Að sjá til þess að rannsakandi hafi undirritað þagnarskylduyfirlýsingu hjá skrárhaldara áður en hann fær aðgang að upplýsingunum.
- Að veita rannsakanda nánari fyrirmæli, ef þörf er á, um hvernig staðið skuli að úrvinnslu gagnanna.
- Að hafa eftirlit með að rannsakandi fari að þeim fyrirmælum sem honum hafa verið gefin um vinnsluna og meðferð upplýsinga úr skrám skrárhaldara.
- Vilji skrárhaldari veita aðgang að umbeðnum gögnum og gerast ábyrgðaraðili að afhendingu þeirra til rannsakanda þarf Persónuvernd að berast undirrituð yfirlýsing þess efnis frá skrárhaldara áður en stofnunin getur tekið leyfisumsókn rannsakanda til umfjöllunar. Við gerð slíkrar yfirlýsingar þarf að huga að eftirfarandi atriðum:
- Að fram komi að skrárhaldari hafi ákveðið að heimila afhendingu gagna til nafngreinds rannsakanda í þágu tiltekinnar rannsóknarinnar sem auðkennd er skilmerkilega í yfirlýsingunni, sem og að gerast ábyrgðaraðili þeirrar afhendingar.
- Að fram komi hvaða upplýsingar sé fyrirhugað að afhenda rannsakanda. Þarf hér að sundurliða hvaða gögn um ræðir og hvaða breytur í gögnunum skrárhaldari hyggist afhenda rannsakanda.
- Að fram komi hvar og hvernig rannsakandi muni fá aðgang að upplýsingum hjá skrárhaldara og hvernig honum sé heimilt að vinna úr þeim.
- Að fram komi lýsing á því hvernig skrárhaldari hyggst gæta að öryggi gagnanna við afhendingu þeirra. Verður t.d. dulkóðunarlykill notaður við vinnsluna, og ef svo er, hvar verður hann varðveittur og hvenær verður honum eytt?
- Hafi skrárhaldari veitt rannsakanda frekari fyrirmæli, t.d. varðandi úrvinnslu gagnanna, þarf að skýra frá þeim fyrirmælum.
- Að yfirlýsingin sé undirrituð af þeim einstaklingi hjá skrárhaldara sem ber ábyrgð á umræddum upplýsingum og er þess bær að undirrita yfirlýsingu af þessum toga f.h. skrárhaldarans.
Vakin er sérstök athygli á að það er ávallt skrárhaldari sem ber ábyrgð á því hvort hann afhendir persónuupplýsingar í þágu vísindarannsóknar – ekki Persónuvernd. Gefur Persónuvernd einungis út leyfi til handa rannsakanda og skrárhaldara ef fyrir liggur að skrárhaldari hafi tekið ákvörðun um að leggja rannsakanda til viðkomandi persónuupplýsingar og gerst ábyrgðaraðili að afhendingu upplýsinganna.