Með tilkomu nýrrar persónuverndarlöggjafar kom til ný regla um ábyrgðarskyldu ábyrgðaraðila. Í reglunni felst að ábyrgðaraðili ber ábyrgð á að vinnsla persónuupplýsinga uppfylli þær meginreglur sem kveðið er á um í 1. – 6. tl. 1. mgr. 8. gr. laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga (persónuverndarlög). Að auki skal hann geta sýnt fram á það. Ábyrgðaraðili þarf að skoða hverja meginreglu fyrir sig við vinnslu persónuupplýsinga og meta hvaða kröfum þarf að mæta. Meginreglurnar eru sanngirnisreglan, tilgangsreglan, meðalhófsreglan, áreiðanleikareglan, varðveislureglan og öryggisreglan. Fara þarf að þeim öllum við vinnslu persónuupplýsinga. Það er því vert að taka þær til skoðunar en til að gefa hverri meginreglu góðan gaum er einblínt á eina meginreglu í einu í mismunandi umfjöllunum. Alls verða þetta sjö umfjallanir en sú síðasta mun lúta nánar að því hvað felst í ábyrgðarskyldunni og hvernig er hægt að fylgja henni eftir. Í þessari fyrstu umfjöllun verður sjónum beint að sanngirnisreglunni.

Almennt um sanngirnisregluna

Í 1. tl. 1. mgr. 8. gr. persónuverndarlaga er kveðið á um að persónuupplýsingar skuli unnar með lögmætum, sanngjörnum og gagnsæjum hætti gagnvart hinum skráða. Reglan er ekki ný af nálinni en hana var einnig að finna í lögum nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga. Í meginatriðum felst í reglunni að einstaklingum verður að vera ljóst að persónuupplýsingum um þá er safnað, þær skoðaðar, notaðar eða unnar á annan hátt og að hvaða marki upplýsingarnar verði eða séu unnar. Reglan lýtur þannig að upplýsingarétti og aðgangsrétti einstaklinga ásamt að taka til lögmæti hverrar vinnslu fyrir sig.

Með lögmætum hætti

Til að fylgja eftir kröfunni að vinnsla persónuupplýsinga fari fram með lögmætum hætti þarf að vera til staðar vinnsluheimild en í 9. gr. persónuverndarlaga er kveðið á um sex heimildir sem geta verið fyrir vinnslu persónuupplýsinga. Þá verður jafnframt að hafa í huga að þegar unnið er með viðkvæmar persónuupplýsingar í skilningi laganna, til dæmis heilsufarsupplýsingar, þarf að auki að vera til staðar heimild fyrir slíkri vinnslu. Í 11. gr. laganna er að kveðið á um ellefu heimildir sem geta verið fyrir vinnslu viðkvæmra persónuupplýsinga. Ef ekki er hægt að færa vinnsluna undir vinnsluheimild samkvæmt lögunum þá er vinnslan ólögmæt. Að auki verður að gæta að óskráðum grundvallarreglum um persónuvernd og friðhelgi einkalífs. Þannig telst vinnsla ólögmæt ef hún samrýmist ekki almennum sjónarmiðum um persónuvernd. Vinnsla persónuupplýsinga má að auki ekki fara gegn öðrum lögum.

Með sanngjörnum hætti

Við vinnslu persónuupplýsinga verður jafnframt að gæta að sanngirni. Sé þess ekki gætt brýtur það í bága við meginregluna jafnvel þrátt fyrir að til staðar sé heimild til vinnslu persónuupplýsinganna. Með sanngirni er meðal annars átt við að aðeins eigi að vinna persónuupplýsingar á þann veg sem einstaklingar búast við að unnið sé með þær. Til að mynda þýðir ekki að blekkja einstakling í því skyni að fá persónuupplýsingar til dæmis með því að segja að tilgangurinn sé A en nota upplýsingarnar í tilgangi B. Til að meta það hvort unnið sé með persónuupplýsingar á sanngjarnan hátt eður ei verður að hafa í huga hvaða áhrif vinnslan geti haft á hagsmuni þess einstaklings sem um ræðir.

Með gagnsæjum hætti

Sú krafa að unnið sé með persónuupplýsingar á gagnsæjan hátt er í grundvallaratriðum tengt því að unnið sé með upplýsingarnar á sanngjarnan hátt. Þá verða hvers kyns samskipti og upplýsingar sem tengjast vinnslu persónuupplýsinga að vera aðgengileg, auðskiljanleg og á skýru sem og einföldu máli. Hinn skráði á því að fá upplýsingar um hver tilgangur er með vinnslunni, hver ábyrgðaraðilinn er ásamt upplýsingum sem eru til þess fallnar að sanngirni og gagnsæi við vinnslu náist. Mikilvægt er að gætt sé að því að einstaklingar fái upplýsingar um vinnslu persónuupplýsinga á skýran, einfaldan og skiljanlegan hátt. Flókið og langt lagamál gengur því ekki upp.

Leiðir til að uppfylla sanngirnisregluna

Mikilvægt er að gæta að því að til staðar sé heimild til vinnslu persónuupplýsinga og þarf því að skoða þær heimildir sem hægt er að byggja á. Það verður því að fara í ákveðna kortlagningu á hverri vinnslu persónuupplýsinga fyrir sig til að finna þá heimild sem við á eða þær heimildir þegar um viðkvæmar persónuupplýsingar er um að ræða. Þess ber að geta að við hjá Dattaca Labs höfum aðstoðað fjölda fyrirtækja og sveitarfélaga við slíka kortlagningu. Þar sem að sanngirnisreglan lýtur að auki að upplýsingarétti og aðgangsrétti einstaklinga getur ábyrgðaraðili uppfyllt regluna hvað það varðar með því að sinna fræðsluskyldu sinni og með því að veita einstaklingum aðgang að persónuupplýsingum sínum þegar við á. Ein leið til að sinna fræðsluskyldunni er að birta persónuverndaryfirlýsingu/persónuverndarstefnu um meðferð persónuupplýsinga á áberandi stað til dæmis á vefsíðu fyrirtækis/stjórnvalds.