Spurt og svarað

Síðast uppfært: Júlí 2018

Gilda reglurnar um mitt fyrirtæki?

Reglurnar gilda um nánast öll fyrirtæki og stofnanir á Íslandi og á öllu EES-svæðinu. Reglurnar gilda um alla þá sem safna og/eða vinna með persónuupplýsingar. Það er varla hægt að reka fyrirtæki án söfnunar eða vinnslu persónuupplýsinga. Ef þú ert með viðskiptavini, birgja eða starfsmenn, vinnur þú (með mismiklum hætti) persónuupplýsingar.

Hvers vegna er svona mikið rætt um persónuvernd?

ESB samþykkti nýjar persónuverndarreglur 2016 sem tóku gildi 25. maí 2018 í Evrópu en munu taka gildi hér á landi 15. júlí 2018. Þrátt fyrir að mikið sé rætt um persónuvernd um þessar mundir eru fyrirhugaðar breytingar ekki eins miklar og ætla mætti enda er mikið af reglunum til staðar í núverandi persónuverndarlögum.

Í ESB hafa verið í gildi reglur um persónuvernd í yfir 20 ár og eru núgildandi lög á Íslandi frá árinu 2001, en fyrstu lögin hér á landi um persónuvernd eru frá 1981.

Ef farið hefur verið eftir reglum núverandi persónuverndarlaga verða breytingarnar ekki stórvægilegar en þó nokkrar. Persónuvernd hefur tekið saman bækling yfir það sem er nýtt í reglunum.

Ýmislegt bendir til þess að mörg fyrirtæki þekki ekki núgildandi reglur nægilega vel og því aukin hætta á að þau verði ekki undirbúin fyrir nýju reglurnar.

Hvað er persónuverndarreglugerðin (GDPR)?

Það sem í daglegu tali er nefnt persónuverndarreglugerðin er reglugerð Evrópusambandsins nr. 2016/679 um vernd einstaklinga í tengslum við vinnslu persónuupplýsinga og frjálst flæði slíkra upplýsinga „GDPR“. Um er að ræða reglugerð sem samþykkt var af ESB í apríl 2016. Reglugerðin lýsir því hvernig almenningur og fyrirtæki geta og mega meðhöndla persónuupplýsingar. Þá veitir reglugerðin einstaklingum tiltekin réttindi vegna vinnslu eða söfnunar upplýsinga um þá.

Reglugerðin gildir í 27 aðildarríkjum ESB ásamt EES/EFTA-ríkjunum Noregi, Íslandi og Liechtenstein frá 25. maí 2018 eða frá þeim tíma sem hún er tekin upp í EES-samninginn og leidd í lög á Íslandi. Alþingi hefur nú samþykkt ný persónuverndarlög sem tóku gildi 15. júlí 2018.

Hvað er svona hættulegt við persónuupplýsingar?

Það er ekkert hættulegt við persónuupplýsingar. Það er ekkert bann við því að safna, vinna eða geyma persónuupplýsingar. Þvert á móti er það oft nauðsynlegt og löglegt enda sé farið að kröfum persónuverndarlaga.

Hvar finn ég persónuverndarreglurnar?

Alþingi hefur samþykkt ný persónuverndarlög sem tóku gildi 15. júlí 2018.

Af hverju er ESB að setja persónuverndarreglur?

Í Mannréttindasáttmála Evrópu segir meðal annars að „Sérhver maður á rétt til friðhelgi einkalífs síns, fjölskyldu, heimilis og bréfaskipta.“

Í einum af sáttmálum ESB er að finna almenna reglu um persónuupplýsingar: „Allir eiga rétt á vernd persónuupplýsinga.“

Íslenska stjórnarskráin verndar einnig mannréttindi og friðhelgi einkalífs.

Þessi réttindi eru ekki alltaf í umræðunni á Íslandi. Eflaust vegna þess að við erum vön að vera með víðtækt aðgengi að persónuupplýsingum, svo sem að upplýsingum er varða heimilisfang, símanúmer, kennitölur og tekjur einstaklinga. Tækniframfarir hafa hins vegar leitt til þess að söfnun og vinnsla persónuupplýsinga hefur aukist verulega.

Þegar ESB setur reglur í formi reglugerðar sem falla undir EES-samninginn ber aðildarríkjum ESB og EES- EFTA ríkjunum að tryggja að sömu reglur gildi í meginatriðum á öllu EES-svæðinu. Reglurnar koma því til með að gilda um íslensk fyrirtæki, hvort sem þau eru með starfsemi á Íslandi eða annars staðar á EES-svæðinu. Á sama hátt verða erlend fyrirtæki með starfsemi á Íslandi að fara eftir reglunum.

Um hvað gilda reglurnar?

Í stuttu máli gilda reglurnar um „vinnslu persónuupplýsinga“. Næstum því hvers konar meðferð með persónuupplýsingar telst vera „vinnsla“. Með „persónuupplýsingum“ er átt við hvers konar upplýsingar sem geta auðkennt einstakling.

Hvað eru persónuupplýsingar?

Persónuupplýsingar eru hvers konar upplýsingar sem auðkenna einstakling eða geta auðkennt hann.

Auðkenni þarf ekki að vera nafn, heldur getur það verið aðrar upplýsingar á borð við kennitölu, heimilisfang, fingrafar, IP – tölu eða mynd.

Ef upplýsingarnar eru auðkennalausar, það er upplýsingar sem ekki er hægt að tengja við ákveðinn einstakling, er ekki um persónuupplýsingar að ræða.

Dæmigerðar persónuupplýsingar sem fyrirtæki safna um viðskiptavini og birgja eru nafn, símanúmer og netfang.

Önnur dæmi um persónuupplýsingar eru gælunafn, upplýsingar um aldur, fæðingardag, fæðingarstað, kyn, hæð, þyngd og augnlit, fjölskyldu- og pólitíska stöðu ásamt ljósmynd. Upplýsingar um menntun, kynhneigð og sakaskrá teljast einnig til persónuupplýsinga. Önnur dæmi eru núverandi og fyrrverandi vinnustaðir, eignir, skuldir, tekjur, bílnúmer og kauphegðun. Formlegar upplýsingar svo sem heimilisfang, vegabréfsnúmer, almannatryggingarnúmer, upplýsingar um ríkisborgararétt, netfang og símanúmer teljast jafnframt til persónuupplýsinga.

Til persónuupplýsinga teljast einnig ýmsar persónugreinanlegar greiningar sem gerðar eru um einstakling t.d. greiðslumat vegna lánsumsóknar.

Upplýsingar teljast til persónuupplýsinga, jafnvel þótt þær séu hvorki leyndarmál eða einkamál. Ef þú getur fundið símanúmer einstaklings á vefsíðu telst það t.d. til persónuupplýsinga.

Upplýsingar um fyrirtæki, svo sem nafn, kennitala, félagaform, og skil þess á ársreikningi, teljast ekki til persónuupplýsinga. Upplýsingar um einstaka starfsmenn, birgja eða viðskiptavini eru á hinn bóginn persónuupplýsingar, jafnvel þótt það sé ekki einstaklingur sem er viðskiptavinur eða birgi. Netfang eða nafnspjald inniheldur t.d. nær alltaf persónuupplýsingar.

Hvað eru viðkvæmar persónuupplýsingar?

Til viðkvæmra persónuupplýsinga teljast þær upplýsingar sem við í daglegu tali teljum til dæmigerðra persónuupplýsinga.

Dæmi um slíkar upplýsingar eru þær sem varða uppruna, litarhátt, pólitískar skoðanir, trúar- eða aðrar lífsskoðanir eða aðild að stéttarfélagi. Einnig teljast upplýsingar um heilbrigði (svo sem ónæmi, veikindi, óléttu), kynlíf og kynhneigð til viðkvæmra persónuupplýsinga. Sama gildir um erfðafræðilegar og líffræðilegar upplýsingar þegar tilgangur þeirra er að bera kennsl á mann.

Um viðkvæmar persónuupplýsingar gilda sérstakar reglur.

Hvernig á að vinna persónuupplýsingar

Við vinnslu persónuupplýsinga þarf að uppfylla allar neðangreindar reglur:

Sanngirnisreglan
Samkvæmt sanngirnisreglunni verður vinnsla að vera aðgengileg og auðskiljanleg.

Reglan gerir m.a. þær kröfur að upplýsingaréttur þess er upplýsingarnar varða sé virtur og að vinnslan sé framkvæmd í samræmi við vandaða vinnsluhætti.

Tilgangsreglan
Tilgangsreglan gerir kröfu um að tilgangur söfnunar sé ákveðinn fyrirfram.

Ekki er unnt að safna upplýsingum í öðrum og ósamrýmanlegum tilgangi og breytir samþykki þar engu.

Tilgangur telst einungis málefnalegur ef hann samrýmist starfsemi hlutaðeigandi fyrirtækis.

Hlutfallsreglan/meðalhófsreglan
Hlutfallsreglan byggir á einstaklingsbundnu mati og nær til magns þeirra upplýsinga sem unnið er með, varðveislu upplýsinganna og aðgangs að þeim.

Reglan felur það í sér að fyrirtæki skulu leitast við að vinna ekki meira með persónuupplýsingar en nauðsynlegt er til að ná því markmiði sem að er stefnt.

Áreiðanleikareglan
Mikilvægt er að tryggja áreiðanleika og gæði persónuupplýsinga og varna því að sá sem upplýsingarnar varðar verði fyrir óhagræði eða tjóni vegna óvandaðrar vinnslu.

Til þess að tryggja áreiðanleika persónuupplýsinga þarf að uppfæra þær eftir þörfum.

Persónugreiningarreglan
Persónugreiningarreglan tengist náið réttinum til að gleymast (e. right to be forgotten ).

Hún felur í sér að fyrirtækjum ber að eyða persónuupplýsingum eða gera þær ópersónugreinanlegar, þegar ekki lengur er þörf á þeim og upplýsingarnar samrýmast ekki þeim málefnalega tilgangi sem þær voru fengnar í.

Verndarreglan
Í verndarreglunni felst að fyrirtækjum sem vinna með persónuupplýsingar ber að setja sér reglur um gagnavernd.

Verndarreglan er matsregla sem tekur mið af uppruna, umfangi, samhengi og tilgangi vinnslunnar ásamt áhættunni sem henni fylgir.

Þegar unnið er með viðkvæmar upplýsingar eru auknar kröfur gerðar til verndar þeirra upplýsinga sem unnið er með.

Hvað þýðir vinnsla persónuupplýsinga?

„Vinnsla“ felur í sér hvers konar notkun persónuupplýsinga, þ. á m. geymslu.

Algengt er að fyrirtæki fái eða sæki persónuupplýsingar sem eru síðan geymdar. Önnur dæmi um vinnslu eru aðlögun, breyting, leit, miðlun, dreifing, samkeyrsla, skráning og flokkun.

Þannig eru persónuupplýsingar „unnar“ um fólk, jafnvel þótt þær séu ekki nýttar í einhverjum tilgangi. „Vinnsla“ getur hvort heldur verið handvirk eða sjálfvirk.

Hvenær er heimilt að vinna persónuupplýsingar?

Heimilt er að vinna persónuupplýsingar með lögmættum hætti ef eitt af eftirfarandi skilyrðum er fyrir hendi:

Samþykki
Fyrirtæki bera sönnunarbyrðina fyrir því að samþykki hafi verið gefið af fúsum og frjálsum vilja. Þögn eða aðgerðarleysi og rafrænt hak, sem gerir fyrirfram ráð fyrir samþykki, flokkast ekki sem samþykki. Því er mælt með því að samþykkið liggi fyrir með skriflegum og ótvíræðum hætti.

Þegar tilgangur vinnslu er fjölbreyttur þarf samþykkið að ná til hvers og eins þáttar hennar.

Mikilvægt er að beiðni um samþykki fyrir vinnslu persónuupplýsinga sé sett fram á þann hátt að hún sé auðgreinanleg frá öðrum málefnum, á skiljanlegu og aðgengilegu formi og skýru og einföldu máli, t.d. í sérstökum viðauka við samning.

Sá sem veitir samþykki þarf að vera vel upplýstur um þýðingu þess svo hann geti tekið sjálfstæða ákvörðun. Í þeim tilvikum þar sem augljóst ójafnvægi er milli aðila er ekki litið svo á að um lögmætt samþykki sé að ræða. Þá geta börn undir 13 ára ekki veitt samþykki sitt fyrir vinnslu persónuupplýsinga en forráðamenn þeirra hafa heimild til slíks.

Sá sem veitir samþykki sitt fyrir vinnslu persónuupplýsinga getur að meginstefnu til afturkallað samþykki sitt með a.m.k. jafnauðveldum hætti og hann veitti það. Fyrirtæki verður að hætta vinnslunni strax í kjölfarið nema annað sé sérstaklega tekið fram en afturköllunin hefur ekki afturvirk áhrif og því þarf ekki að eyða persónuupplýsingum sem þegar hefur verið safnað með lögmætum hætti.

Sjá nánar um samþykki í leiðbeiningum Persónuverndar .

Vinnslan er nauðsynleg til að efna samning eða gera ráðstafanir að beiðni þess er vinnslan varðar
Matið á hvað er nauðsyn ræðst af því hvaða afleiðingar það hefur ef vinnslan fer ekki fram. Ef viðskipti geta farið fram án vinnslunnar er hún ekki nauðsynleg. Á þessum grunni hefur verið talið málefnalegt að skrá niður kennitölu kaupanda í reikningsviðskiptum, afla vottorðs og fletta upp aðila í vanskilaskrá í reikningsviðskiptum.

Vinnslan er nauðsynleg til að fullnægja lagaskyldu
Slík lagaskylda getur verið almenn sbr. t.d. ákvæði bókhalds- og skattalaga eða sértæk, þ.e. bundin við ákveðnar atvinnugreinar, t.d. fjármála- og fjarskiptafyrirtæki.

Vinnslan er nauðsynleg til að vernda brýna hagsmuni
Hér falla undir hagsmunir sem eru mikilvægir lífi þess sem upplýsingarnar eru um (hins skráða) eða annars einstaklings. Þá er ekki útilokað að afar brýnir fjárhagslegir hagsmunir féllu hér jafnframt undir.

Einungis er hægt að styðjast við vinnslu á þessum grundvelli þegar ekki er hægt að finna stoð fyrir vinnslu á öðrum grundvelli og þegar sá sem vinnsluna varðar er ófær um að veita samþykki sitt, t.d. sökum veikinda eða lögræðisskorts.

Vinnslan er nauðsynleg í þágu almannahagsmuna
Hugtakið almannahagsmunir er skýrt frekar þröngt og því verður vinnslan að þjóna nokkuð stórum hópi manna. Hér undir getur t.d. fallið vinnsla í sagnfræðilegum, tölfræðilegum eða vísindalegum tilgangi.

Vinnslan er nauðsynleg við beitingu opinbers valds
Hér undir falla t.d. þeir einkaaðilar sem fara með opinbert vald og þurfa að fá persónuupplýsingar til að geta gegnt starfi sínu.

Vinnslan er nauðsynleg svo unnt sé að gæta lögmætra hagsmuna
Skilyrði heimildarinnar er að mat hafi farið fram á því hvort hagsmunir þess sem vinnur upplýsingarnar vegi þyngra en hagsmunir þess er upplýsingarnar varða.

Lögmætir hagsmunir geta verið til staðar þegar sá sem upplýsingarnar varðar er viðskiptavinur eða birgi fyrirtækis.

Í þeim tilvikum sem vinnslan er algerlega nauðsynleg til þess að verjast svikum er skilyrðinu um lögmæta hagsmuni uppfyllt. Þá kann vinnsla persónuupplýsinga í beinni markaðssetningu að þjóna lögmætum hagsmunum. Að sama skapi hefur fyrirtæki lögmæta hagsmuni af því að vinna persónuupplýsingar í þeim tilvikum sem það er algerlega nauðsynlegt til þess að tryggja net- og upplýsingaöryggi.

Persónuvernd hefur m.a. talið að á þessum grundvelli sé heimilt að miðla persónuupplýsingum:
til starfsmanna um uppsögn samstarfsmanns sökum niðurskurður (2010/417),
úr augnskanna fyrirtækis vegna umferðaróhapps á bílastæði þess (2010/493),
um fyrnda kröfu vegna síðari viðskipta (2011/148),
með rafrænni akstursbók í þungum flutningabifreiðum á vinnutíma (2010/959),
til símafyrirtækis vegna gruns starfsmanns um öryggisbrot í starfi (2015/241),
um myndir af starfsmönnum, sem þeir hafa sjálfir veitt félagi við ráðningu eða félagið tekið af þeim og þeir samþykkt, á innra neti fyrirtækis eða með því að hengja upp mynd af nýjum starfsmönnum í sameiginlegu rými (2009/1033),
með rafrænni vöktun á lóð vinnuveitanda í eignarvörslu og öryggisskyni (2014/1117),
til skuldara í tengslum við innheimtu vanskilakröfu með smáskilaboðum (2014/1183).

Á hinn bóginn hefur Persónuvernd ekki fallist að á þessum grundvelli sé heimilt að miðla persónuupplýsingum:
úr vanskilaskrá um sambýlismaka vegna hugsanlegra viðskipta (2005/517),
um greiðsluhegðun einstaklinga án þeirra samþykkis (2008/482),
úr tölvupósti starfsmanns eftir að starfsmaður hefur látið að störfum án þess að veita honum kost á því að eyða fyrst einkatölvupóstum (2015/767),
með því að áframsenda tölvupóst fyrrum starfsmanns til annars aðila (2010/211)
um umdeilda skuld til skráningar hjá Creditinfo Lánstrausti hf. (2015/1519),
um skuldastöðu félagsmanns til annarra félagsmanna (2015/908),
með rafrænni vöktun á lóð vinnuveitanda sem væri í óskiptri sameign nema samþykki sameiganda liggi fyrir (2014/1117).

Hvenær er heimilt að vinna viðkvæmar persónuupplýsingar?

Strangari kröfur gilda um vinnslu viðkvæmra persónuupplýsinga en nægjanlegt er að vinnslan uppfylli eitt af eftirfarandi skilyrðum:

Samþykki
Sömu reglur gilda um samþykki í tilviki viðkvæmra og almennra persónuupplýsinga með þeim fyrirvara að samþykki getur ekki verið sjálfstæður grundvöllur vinnslu þegar: (i) vinnslan samræmist ekki laga eða fagskyldum, (ii) vinnslan er í eðli sínu sérstaklega viðkvæm, (iii) veittar eru upplýsingar um aðra einstaklinga.

Vinnslan er nauðsynleg svo sá sem upplýsingarnar varðar geti staðið við skuldbindingar sínar og nýtt sér félagsleg réttindi
Hér undir falla skyldur sem hvíla á vinnuveitanda samkvæmt ráðningarsamningi, vinnustaðasamningi eða kjarasamningi. Meðal skyldna vinnuveitanda er að standa skil á samningsbundnum stéttarfélagsgjöldum og greiðslum í lífeyrissjóð.

Vinnslan er nauðsynleg til að verja verulega hagsmuni einstaklings sem er ekki bær um að gefa samþykki sitt
Heimildin er túlkuð þröngt og á einungis við ef viðkomandi einstaklingur er ófær um að gefa samþykki sitt vegna andlegs ástands og lífspursmál er að vinnslan eigi sér stað.

Vinnslan er framkvæmd af stéttarfélögum og félögum sem starfa ekki í hagnaðarskyni
Vinnslan verður að vera liður í lögmætri starfsemi og nauðsynleg fyrir starfsemi félagsins. Slíkt var t.d. ekki fyrir hendi að mati Persónuverndar þegar stéttarfélag aflaði sundurliðara upplýsinga um heildarlaun einstakra félagsmanna (2011/201). Skilyrði miðlunar slíkra persónuupplýsinga til þriðja aðila er að samþykki liggi fyrir og að gerðar séu viðeigandi verndarráðstafanir.

Vinnslan tekur einungis til upplýsinga sem sá er upplýsingarnar varðar hefur gert opinberar
Til þess að heimildin geti átt við verða upplýsingarnar að vera skýrar og ná til nægjanlega breiðs hóps manna. Spjall á kaffistofu við lítinn hóp samstarfsmanna er t.d. ekki nægjanlega breiður hópur í þessum skilningi.

Heimildin er bundin því skilyrði að vilji viðkomandi hafi staðið til þess að gera umræddar persónuupplýsingar opinberar. Hann verður sjálfur að gera persónuupplýsingarnar opinberar með athöfn eða veita öðrum umboð til þess.

Vinnsla er nauðsynleg til að krafa verði afmörkuð, sett fram eða varin vegna dómsmáls eða annarra slíkra laganauðsynja
Lykilatriði er að gætt sé meðalhófs og einungis sé unnið með upplýsingar í þessum tilgangi þegar það telst nauðsynlegt til að ná fram lögmætu markmiði. Það er því ekki nóg að heppilegt geti verið að aflað upplýsinganna heldur verður það að teljast nauðsynlegt.

Hér undir fellur t.d. vinnsla um starfsmann sem er vinnuveitanda nauðsynleg í tengslum við vinnuréttar, -höfunda, -skaðabóta, -eða refsimál. Persónuvernd hefur t.d. talið að vinnuveitanda sé á þessum grundvelli heimilt að nota myndbrot úr eftirlitsmyndavélum í tengslum við brottrekstrarmál ( 2002/579 ).

Heimild til vinnslu í sérlögum
Ekki er nægjanlegt, líkt og í tilviki almennra persónuupplýsinga, að vinnslan sé nauðsynleg til að fullnægja lagaskyldu heldur þarf lagaheimild í sérlögum um vinnsluna. Forsenda lagaheimildarinnar er að verulegir almannahagsmunir standi til vinnslunnar.

Vinnslan er nauðsynleg vegna heilsufarssjónarmiða
Heimilt er að vinna viðkvæmar persónuupplýsingar þegar það er nauðsynlegt til að fyrirbyggja sjúkdóma eða vegna atvinnulækninga, til að meta vinnufærni starfsmanns, greina sjúkdóma og veita umönnun eða meðferð á sviði heilbrigðis- eða félagsþjónustu enda sé starfsfólkið bundið þagnarskyldu.

Vinnslan er nauðsynleg vegna almannahagsmuna á sviði lýðheilsu
Heimilt er að vinna viðkvæmar persónuupplýsingar þegar vinnslan er nauðsynleg af ástæðum er varða almannahagsmuni á sviði lýðheilsu. Til dæmis til að verjast alvarlegum heilsufarsógnum sem ná þvert yfir landamæri eða til að tryggja öryggi og gæði heilbrigðisþjónustu, lyfja eða lækningatækja.

Vinnslan er nauðsynleg vegna tölfræði-, sagnfræði- eða vísindarannsókna
Skilyrði þess að vinnsla geti farið fram í þessum tilgangi er að gripið sé til viðeigandi tæknilegra og skipulagslegra ráðstafana til að vernda þá sem upplýsingarnar varða og að ekki séu unnar meiri upplýsingar en þörf er á.

Vinnslan er nauðsynleg vegna skjalavistunar í þágu almannahagsmuna
Vinnsla er einungis heimil í þessum tilgangi þegar heimild stendur til hennar í sérlögum enda sé þar kveðið á um viðeigandi verndarráðstafanir, einkum þagnarskyldu.

Þarf fyrirtækið mitt að setja sér persónuverndarstefnu?

Já. Öll fyrirtæki sem vinna með persónuupplýsingar þurfa að setja sér persónuverndarstefnu á auðskiljanlegu og aðgengilegu formi. Þar skulu m.a. koma fram upplýsingar um hvaða persónuupplýsingum fyrirtækið hyggst safna og hvernig það hyggst nota, miðla, varðveita og vernda upplýsingarnar. Ennfremur skal þar koma fram hvernig hægt sé að fá aðgang að upplýsingum. Nauðsynlegt er að endurskoða persónuverndarstefnuna reglulega.

Nálgast má dæmi um persónuverndarstefnu í persónuverndarsniðmátunum.

Hversu lengi má ég geyma persónuupplýsingar?

Geyma má persónuupplýsingar eins lengi og þörf er á til að þjóna yfirlýstum og lögmætum tilgangi. Gæta þarf meðalhófs og eyða þarf persónuupplýsingum um leið og fyrirtæki hefur ekki lengur þörf fyrir að geyma þær eða gera persónuupplýsingarnar ópersónugreinanlegar.

Persónuverndarlögin tiltaka ekki hversu lengi þú eigir að geyma persónuupplýsingar. Það er lagt á herðar þeirra sem vinna persónuupplýsingar að meta það hverju sinni. Í sérlögum getur aftur á móti verið afmarkað hversu lengi fyrirtæki eigi að geyma persónuupplýsingar. Þau fyrirtæki sem falla þannig t.d. undir gildissvið laga um opinber skjalasöfn er óheimilt að ónýta eða farga nokkru skjali í skjalasafni þeirra nema á grundvelli samþykkis þjóðskjalavarðar. Þá er öllum fyrirtækjum skylt að varðveita öll bókhaldsgögn í sjö ár frá lokum viðkomandi rekstrarárs.

Í þeim tilvikum þar sem ekki er að finna skýra lagaheimild er matið lagt á herðar þess sem vinnur upplýsingarnar eins og áður segir. Ekki er heimilt að geyma persónuupplýsingar á þeim forsendum að gott væri að eiga þær ef ske kynni. Raunverulegur og yfirlýstur tilgangur þarf að vera fyrir geymslu persónuupplýsinganna og a.m.k. ágætis líkur á að persónuupplýsingarnar verði nýttar á geymslutímanum. Fyrirtækjum getur þannig t.d. verið heimilt að geyma ákveðin gögn sem tengjast vinnusambandinu í fjögur ár frá lokum ráðningar (fyrningarfrestur kröfuréttinda) til að geta varist hugsanlegum réttarkröfum. Sömu sjónarmið eiga við í tilviki viðskiptavina sem kunna að koma fram með kvartanir vegna fyrri viðskipta.

Frá framangreindum reglum er gerð undantekning í tilviki vinnslu vegna skjalavistunar í þágu almannahagsmuna, rannsókna á sviði vísinda eða sagnfræði eða í tölfræðilegum tilgangi. Í þeim tilvikum er heimilt að geyma persónuupplýsingar lengur en skilyrði er að upplýsingarnar séu einungis geymdar og nýttar í þeim tilgangi og að viðeigandi öryggis sé gætt.

Æskilegt er að fyrirtæki setji sér stefnu um geymslu gagna þar sem kemur fram hversu lengi fyrirhugað er að geyma tiltekna flokka persónuupplýsinga. Stefnan getur verið hluti af vinnsluskrá fyrirtækisins líkt og gert er í persónuverndarsniðmátum SA. Þá er einnig æskilegt að fyrirtæki setji sér skýrar verklagsreglur um eyðingu og takmörkun persónuupplýsinga. Nálgast má dæmi um slíkar verklagsreglur í innra eftirlitskerfinu hér í persónuverndarsniðmátunum.

Gott er að fara í gegnum eftirfarandi tékklista:

  • Við vitum hvaða persónuupplýsingar við geymum og af hverju við þurfum þær.
  • Við hugum vandlega að og getum réttlætt hversu lengi við geymum persónuupplýsingar.
  • Við erum með stefnu um geymslu persónuupplýsinga.
  • Við endurskoðum reglulega þær persónuupplýsingar sem við geymum og eyðum eða gerum persónuupplýsingar ópersónugreinanlegar þegar ekki er lengur þörf fyrir að geyma þær.
  • Við höfum viðeigandi verkferla til að bregðast við óskum einstaklinga um eyðingu persónuupplýsinga.
  • Við höldum sérstaklega utan um þær persónuupplýsingar sem við geymum vegna skjalavistunar í þágu almannahagsmuna, rannsókna á sviði vísinda eða sagnfræði eða í tölfræðilegum tilgangi.

Hvaða öryggisráðstafana þarf að grípa til?

Fyrirtæki þurfa að framkvæma viðeigandi öryggisráðstafanir til að vernda persónuupplýsingar gegn ólöglegri eyðingu, gegn því að þær glatist eða breytist fyrir slysni eða gegn óleyfilegum aðgangi. Öryggisráðstafanirnar ráðast af hverju tilviki fyrir sig og eiga að taka mið af áhættu af vinnslunni og eðli gagnanna með hliðsjón af þeirri tækni sem er fyrir hendi sem og kostnaðar við framkvæmd öryggisráðstafana. Þar sem áhættan er mikil eða persónuupplýsingarnar viðkvæmar þurfa öryggisráðstafanirnar að vera sérstaklega miklar.

Fyrirtæki hafa nokkuð svigrúm við mat á aðferðum til að ná settu marki. Dæmi um öryggisráðstafanir eru: notkun gerviauðkenna, dulkóðun persónuupplýsinga, aðgangstakmarkanir, eftirlit með árangurslausum árásum á tölvukerfi, veiruvarnir, að gæði öryggisbúnaðar sé tryggt, að unnt sé að endurheimta tímanlega aðgang að persónuupplýsingum ef tjón verður, framkvæmd séu regluleg próf til að meta öryggi vinnslunnar, að heimila þeim sem upplýsingarnar varðar að fylgjast með vinnslunni og að draga úr vinnslu persónuupplýsinga.

Er skylt að tilkynna um vinnslu og veita einstaklingi afrit af persónuupplýsingum sem eru í vinnslu?

Já. Tilkynna skal einstaklingi innan hæfilegs tíma þegar upplýsinga er aflað hjá honum eða þegar persónuupplýsingum er aflað eftir öðrum heimildum. Það er þó ekki skylt að tilkynna einstaklingi um vinnsluna ef viðkomandi hefur upplýsingarnar þegar undir höndum, ef sérstaklega er mælt fyrir um skráningu eða birtingu persónuupplýsinga í lögum, ef ómögulegt reynist að veita viðkomandi upplýsingarnar eða ef það hefði í för með sér óhóflega fyrirhöfn.

Einstaklingar eiga jafnframt rétt á að óska eftir að fá staðfestingu á að verið sé að vinna persónuupplýsingar um þá og fá afrit af þeim. Heimilt er að innheimta sanngjarnt endurgjald fyrir afritið ef farið er fram á fleiri en eitt eintak. Ef vafi leikur á því að sá sem kallar eftir upplýsingum sé hinn skráði er hægt að fara fram á að viðkomandi sanni á sér deili. Börn njóta sama réttar og fullorðnir og orðið skal við beiðni þeirra enda hafi þau þroska í að átta sig á hvað felst í beiðninni. Í þeim tilvikum sem unnið er með mikið magn upplýsinga um einstakling er heimilt að óska eftir að tilgreint sé nánar um hvaða upplýsingar eða vinnsluaðgerð beiðnin snýst.

Rétturinn til að fá afrit af þeim persónuupplýsingum sem eru í vinnslu takmarkast við réttindi og frelsi annarra, þ.m.t. viðskiptaleyndarmál og hugverkaréttindi. Rétturinn til afrits sætir einnig takmörkunum þegar vinnsla persónuupplýsinga telst hófleg ráðstöfun til að verjast eða fullnægja einkaréttarlegri kröfu. Sama á við í tilviki undirbúnings- og vinnugagna sem ekki hefur verið dreift til annarra.

Afhenda skal upplýsingarnar á hnitmiðuðu, skiljanlegu og aðgengilegu formi og á skýru og einföldu máli. Fyrirtæki geta veitt upplýsingarnar skriflega eða með öðrum hætti, m.a. rafrænum. Afhenda skal upplýsingarnar innan hæfilegs tíma, þó í síðasta lagi mánuði frá upplýsingabeiðni.

Hvenær þarf að leiðrétta eða eyða persónuupplýsingum?

Einstaklingur á rétt á að persónuupplýsingum er varða hann sjálfan sé eytt án ótilhlýðilegar tafar ef:
(a) upplýsingarnar eru ekki lengur nauðsynlegar fyrir fyrirtækið,
(b) samþykki hefur verið afturkallað eða vinnslunni er andmælt,
(c) vinnslan samrýmist ekki ákvæðum persónuverndarlaga.

Fyrirtækjum er þó heimilt að hafna beiðni um slíkt í þeim tilvikum sem nauðsyn krefur, til að:

(a) neyta réttar til tjáningar- og upplýsingafrelsis,
(b) uppfylla lagaskyldu,
(c) vinna verkefni í þágu almannahagsmuna eða beita opinberu valdi sem ábyrgðaraðili fer með,
(d) geta sinnt verkefni í þágu almannahagsmuna á sviði lýðheilsu,
(e) geta sinnt skjalavistun í þágu almannahagsmuna,
(f) sinna rannsókn á sviði vísinda eða sagnfræði eða í tölfræðilegum tilgangi,
(g) stofna, hafa uppi eða verja réttarkröfur.

Í þeim tilvikum sem skylt er að eyða persónuupplýsingum þarf jafnframt að afmá hvers kyns tengla, afrit og eftirmyndir.

Þá geta einstaklingar farið fram á að fyrirtæki takmarki vinnslu persónuupplýsinga þegar:
(a) véfengt er að persónuupplýsingar séu réttar þar til fyrirtæki staðfesti að svo sé,
(b) einstaklingurinn er í réttmætum vafa um hvort ólögmætum persónuupplýsingum hafi verið eytt,
(c) fyrirtækið þarfnast ekki lengur upplýsinganna en einstaklingurinn þarf á þeim að halda t.þ.a. stofna, halda uppi eða verja réttarkröfur,
(d) beðið er sannprófunar á því hvort hagsmunir fyrirtækisins skuli ganga framar lögmætum hagsmunum einstaklingsins.

Aðferðir við að takmarka vinnslu persónuupplýsinga gætu m.a. falið í sér að færa valdar upplýsingar tímabundið í annað vinnslukerfi, gera valdar persónuupplýsingar óaðgengilegar notendum eða fjarlægja birtar upplýsingar tímabundið af vefsetri.

Hvað er persónuverndarfulltrúi?

Með nýju persónuverndarlögunum verður tilteknum tegundum fyrirtækja skylt að hafa persónuverndarfulltrúa. Undir þann flokk falla þau fyrirtæki þar sem megintilgangur snýr að (a) umfangsmikilli vinnslu persónuupplýsinga, eða (b) vinnslu viðkvæmra persónuupplýsinga.

Persónuverndarfulltrúi er aðili sem ber sérstaka ábyrgð á málefnum fyrirtækisins sem tengjast persónuvernd. Verkefni persónuverndarfulltrúa er einkum að tryggja að fyrirtækið uppfylli kröfur persónuverndarlaganna. Þá er hlutverk hans einnig að veita ráðgjöf um persónuvernd og eiga samstarf við Persónuvernd og vera fulltrúi fyrirtækisins gagnvart stofnuninni.

Persónuverndarfulltrúi er sjálfstæður í starfi sínu og heyrir beint undir æðstu stjórnendur fyrirtækisins. Hann er í starfi sínu bundinn fullum trúnaði. Honum er heimilt að sinna öðrum verkefnum svo lengi sem þau hafa ekki áhrif á hæfni hans til þess að sinna hlutverki sínu.

Persónuverndarfulltrúi getur verið starfsmaður fyrirtækis eða verið ráðinn á grundvelli þjónustusamnings. Persónuverndarfulltrúi þarf að vera óháður í starfi og því er almennt mælt gegn því að t.d. framkvæmdastjórar, stjórnarmenn, gæðastjórar, mannauðsstjórar, regluverðir eða yfirlögfræðingar séu tilnefndir sem persónuverndarfulltrúar.

Fyrirtækjasamstæða getur tilnefnt einn persónuverndarfulltrúa enda geti hann auðveldlega sinnt starfa sínum í þeim öllum í senn.

Persónuverndarfulltrúi ber ekki ábyrgð á að fyrirtækið uppfylli kröfur persónuverndarlaga, hann hefur eftirlitshlutverk. Stjórn fyrirtækisins ber ábyrgðina. Það er mikilvægt að allir starfsmenn fái fræðslu um persónuvernd og persónuverndarstefnu fyrirtækisins og að allir starfsmenn sem koma að söfnun og/eða vinnslu persónuupplýsinga vinni saman að því að uppfylla skilyrði laganna.

Sjá frekari umfjöllun um persónuverndarfulltrúa í leiðbeiningum Persónuverndar og leiðbeiningum gefnum út af sérfræðingahópi ESB.

Þarf að meta áhrif á persónuvernd áður en vinnsla fer fram?

Já, ef líklegt er að vinnslan geti haft í för með sér mikla áhættu fyrir réttindi og frelsi einstaklinga. Það á einkum við þegar um er að ræða:
(a) kerfisbundið og umfangsmikið mat á persónulegum þáttum, sem leiðir til töku ákvörðunar um einstakling sem snertir hann verulega,
(b) umfangsmikla vinnslu viðkvæmra persónuupplýsinga, eða
(c) kerfisbundið og umfangsmikið eftirlit með svæði sem er aðgengilegt almenningi.

Persónuvernd mun birta upplýsingar áður en ný lög um persónuvernd taka gildi (25. maí 2018) um hvenær mat á áhrifum á persónuvernd er krafist.

Matið á einkum að fela í sér verndarráðstafanir og er ætlað að draga úr þeirri áhættu sem felst í vinnslunni, tryggja vernd persónuupplýsinga og sýna fram á að farið sé að persónuverndarlögum.

Bendi mat á áhrifum á persónuvernd til þess að áhættan sé mikil og að fyrirtækið sé ekki fært um að draga úr henni verður að leita forálits Persónuverndar á vinnslunni.

Hvað á að gera ef það kemur upp öryggisbrot?

Með öryggisbroti er átt við brot (á öryggi) sem leiðir til óviljandi eða ólögmætrar eyðingar persónuupplýsinga eða til þess að þær glatist, breytist, verði birtar eða aðgangur veittur að þeim í leyfisleysi.

Tilkynna skal öryggisbrot til Persónuverndar, án ótilhlýðilegrar tafar, þó eigi síðar en 72 klst. eftir að fyrirtæki verður vart við öryggisbrot nema ólíklegt þyki að brotið leiði til áhættu fyrir réttindi og frelsi einstaklinga. Ef ekki er unnt að tilkynna um brotið fyrir þann tíma skulu ástæður fyrir töfinni fylgja tilkynningunni.

Í tilkynningunni skulu meðal annars koma fram upplýsingar um í hverju brotið er fólgið, þ. á m. upplýsingar um tegund þess, áætlað umfang og líklegar afleiðingar brotsins. Í tilkynningunni skal einnig tiltaka þau skref sem tekin voru eða munu vera tekin til þess að draga úr skaðlegum áhrifum brotsins.

Fyrirtæki skal jafnframt tilkynna hlutaðeigandi einstaklingi/um um brotið án ótilhlýðilegrar tafar ef líklegt er að öryggisbrotið leiði af sér mikla áhættu fyrir réttindi og frelsi þeirra. Þó er ekki skylt að tilkynna einstaklingum ef:
(a) gerðar hafa verið viðeigandi verndarráðstafanir áður en öryggisbrotið átti sér stað eða eftir á í því skyni að draga úr líkum á því að aftur komi til jafnmikillar áhættu,
(b) það hefði í för með sér óhóflega fyrirhöfn en þá skal birta almenna tilkynningu eða grípa til annarra sambærilegra ráðstöfunar.

Fyrirtækjum er skylt að skrá niður hvers kyns öryggisbrot og tilgreina málsatvik í tengslum við viðkomandi brot, áhrif þess og þær aðgerðir til úrbóta sem gripið var til.

Sjá einnig leiðbeiningar um tilkynningar um öryggisbrot á heimasíðu Persónuverndar og tilkynningareyðublað í persónuverndarsniðmátunum.

Má ég miðla persónuupplýsingum til útlanda?

Já, ef lög þess ríkis tryggja fullnægjandi vernd. EES-ríkin (ESB ríkin auk Íslands, Noregs og Liechtenstein) tryggja fullnægjandi vernd auk annarra ríkja sem framkvæmdastjórn ESB hefur metið fullnægjandi. Sjá hér lista yfir önnur örugg ríki.

Miðlun til fyrirtækja sem hafa ekki verið talin tryggja fullnægjandi vernd er einungis heimil ef gerðar eru viðeigandi öryggisráðstafanir. Sjá umfjöllun um öryggisráðstafanir að ofan.

Er hægt að útvista öllu því sem hefur með persónuvernd og GDPR að gera?

Heimilt er að semja við svokallaðan „vinnsluaðila“ um að annast í heild eða að hluta vinnslu persónuupplýsinga sem fyrirtækið ber ábyrgð á. Með „vinnsluaðila“ er átt við einstakling eða lögaðila sem vinnur persónuupplýsingar á vegum annars fyrirtækis (ábyrgðaraðila).

Fyrirtæki ber sem ábyrgðaraðili ábyrgð á vinnslu persónuupplýsinga þótt það feli öðrum „vinnsluaðila“ að framkvæma vinnsluna fyrir sig. Ef „vinnsluaðili“ veldur með saknæmri háttsemi tjóni kann fyrirtæki þó að eiga bótarétt að því marki sem er sanngjarnt með sama hætti og gagnvart starfsmönnum sínum. Því er mikilvægt að fyrirtæki gangi vel úr skugga um að „vinnsluaðili“ hafi heimild til vinnslunnar og hafi sannreynt, t.d. með áhættumati, að „vinnsluaðilinn“ geti framkvæmt viðeigandi öryggisráðstafanir.

Vinnslusamningur skal vera skriflegur og í honum skal afmarka hvernig vinnsla persónuupplýsinga eigi að fara fram og hvernig þjónustan eigi að vera. Í honum ber „vinnsluaðila“ auk þess að að lýsa því yfir að hann uppfylli allar lagakröfur sem gerðar eru til hans.

Sjá sniðmát að vinnslusamningi í persónuverndarsniðmátunum og leiðbeiningar fyrir vinnsluaðila á heimasíðu Persónuverndar.

Hvaða afleiðingar hefur það að brjóta nýju persónuverndarreglurnar (GDPR)?

Persónuvernd hefur eftirlit með því að farið sé að persónuverndarreglunum. Persónuvernd mun hafa heimild til að leggja á stjórnvaldssektir sem nema allt að 4% af árlegri heildarveltu eða 20 milljónum evra. Á þennan ramma mun einkum reyna í tilviki stórra alþjóðlegra fyrirtækja. Þá mun Persónuvernd áfram hafa heimild til að áminna, gefa fyrirmæli, stöðva vinnslu persónuupplýsinga tímabundið eða varanlega og kæra til lögreglu ef um stórfellt brot er að ræða en í frumvarpsdrögum er lagt til að brot geti varðað allt að 3 ára fangelsi. Persónuvernd verður líkt og aðrar stofnanir að gæta meðalhófs við beitingu refsikenndra viðurlaga.

Fyrirtæki og einstaklingar sem telja sig hafa orðið fyrir fjárhagslegu tjóni vegna vinnslu í andstöðu við persónuverndarlög geta jafnframt höfðað bótamál ýmist einir eða með öðrum í formi hópmálssóknar.

Með nýju persónuverndarreglunum er einstaklingum jafnframt veittur réttur á að vita um og fá afrit af, þeim persónuupplýsingum sem fyrirtæki eru að vinna um þá. Þessi réttur er mikilvægur liður í því að framfylgja reglunum.